2024年02月號 樂活職人
供應鏈安全與漏洞管理
遠東新世紀 / 陳芳瑜
供應鏈已成為商業運作不可或缺的一環,然而,企業在相互高度連結下,雖然能提升效率,卻也伴隨著日益複雜的安全隱患,尤其近年針對供應鏈的攻擊事件層出不窮,越來越多企業深感資安威脅迫在眉睫,如何建立完善的供應鏈安全管理與漏洞防護機制,是企業經營的重要課題。
供應鏈安全的重要性不言而喻,一個環節的漏洞可能威脅整條供應鏈的安全。2021年底,Apache Log4j日誌框架漏洞的曝光就是一個殘酷的案例。作為Java開發應用的開源軟體,Log4j被許多網站和應用程式廣泛採用,卻出現嚴重的安全漏洞,美國政府甚至將其描述為安全界的「地方流行病」,可能影響企業系統運作長達數年甚至更久。之所以造成深遠影響的原因在於,每個網路應用程式都需要利用日誌框架系統來進行紀錄,一旦有漏洞,駭客就能趁機駭入企業內部,偷取金錢、機敏資料、存取權等。無獨有偶,2023年8月,知名軟體WinRAR也爆出重大漏洞。由於WinRAR在Windows被廣泛使用,傳播十分普遍,帶來的安全風險同樣不容忽視。
無論Log4j或WinRAR漏洞,都可能直接影響使用這些軟體的企業,進而對整體供應鏈造成連鎖反應。為了有效因應突發的攻擊,企業應採取全面的漏洞防範管理方案,包括--
1.持續關注公開漏洞資料庫:主動追蹤如CVE、NVD等公開漏洞資料庫,以獲取最新的資訊。
2.漏洞分級預警與優先修補:根據漏洞的CVSS評分,優先修補風險較高或威脅程度嚴重的漏洞。
3.利用漏洞掃描工具:採用自動化漏洞掃描工具,定期檢測企業網路和系統,以發現潛在的漏洞。例如,利用SecurityScorecard之類的工具可提供自動化的網路資產漏洞掃描和分析服務,並生成資安風險評估報告,協助企業了解資安弱點和風險狀況。
4.分享威脅情報:參考TWCERT/CC、國家資通安全研究院NICS…等政府平臺公布的漏洞警報,同步更新內部安全漏洞,以提升企業的資安防禦力。
5.評估供應商風險:企業應定期評估供應商產品和服務潛在的漏洞風險,包含對於軟體開發廠商源碼、硬體設備,以及提供的第三方服務(例如雲端服務和資料儲存服務)的評估。另外,工研院也提供企業資安評級服務,有助於企業掌握自身資安風險,準備應對策略。
綜上所述,供應鏈上的各方企業應加強溝通與協調合作,建立聯合的安全監控與漏洞防護體系,持續完善資安管理機制,以降低整體風險,達到安全與發展的最佳平衡點。
*圖片來源:freepik
#