供應鏈安全的最佳實踐

香港互聯網註冊管理有限公司

香港互聯網註冊管理有限公司官方帳號

2022-07-20 18:00 HKT

企業專欄

內容

2022年3月初一間知名日本汽車製造商遭受供應鏈攻擊，事件引致該公司在日本14間工廠、28條生產線全數停工，令該公司的全球產量在被攻擊期間整整減少了三分之一、並造成數百萬美元生產力和營業額的損失。據瞭解，事源該公司的其中一個零件供應商遭受勒索軟件入侵，令生產線陷入停頓，無法供貨給包括該公司在內的下游客戶。事實上，自2020年末的SolarWinds事件之後，供應鏈攻擊就不時發生，而且往往牽涉一些國際知名的大企業。仔細分析過往軟件供應鏈攻擊的案例，可以歸納為以下三類攻擊模式：

軟件供應商被攻擊者所駭，其軟件產品因而遭埋入惡意程式，SolarWinds攻擊就屬於此類。
軟件供應商的產品使用含惡意程式的第三方軟件如開源軟件。
軟件供應商的產品使用含易遭駭的程式漏洞的第三方軟件如開源軟件。由於當今軟件產品使用大量開源軟件套件，而開源軟件的版本管理機制相對鬆散，讓黑客有較多機會將惡意程式或程式漏洞植入常用的開源軟件代碼。

由於中小企的資訊保安資源有限，而且經常處於軟件供應鏈的最下游，因此在應對供應鏈攻擊方面，中小企無疑是處於非常被動的位置。有見及此，網絡安全顧問就提出了幾點建議供大家參考：

須充分了解供應商：審核供應鏈上游的供應商，並只使用那些具有強大安全實踐能力和信譽穏健的供應商。
控制存取：追蹤並限制來自關鍵第三方的網絡及數據存取，並充分了解第三方供應商可能引入第四方分包商的風險。
遵循政府的建議：近期事故的規模和嚴重性，促使許多政府機構發布框架和最佳實踐來防禦此類攻擊，建議企業遵循相關指引並確保供應商也同步遵循。例如，政府的《資訊安全網｜知識中心｜常見的網絡威脅｜供應鏈攻擊》。
服務合約：這包括在服務合約裡面主動加入有關信息安全策略、數據生命週期管理、事故通報和應對、定期進行網絡安全評估和合規性評估等等與信息安全有關的條款。
培訓員工：根據美國CISA，大多數網絡攻擊包括勒索軟體和商務電子郵件入侵，都始於網絡釣魚。因此對員工進行安全意識培訓可以降低這種風險。
增強網絡安全：使用「深度防禦方法」的概念來增強網絡安全。