Search
Close this search box.

【不能被往死裡打啊】別讓駭客把供應鏈當提款機,台灣供應鏈如何強化防禦韌性?

製造業面臨嚴峻資安挑戰,數位部報告指出製造業供應鏈已經成為駭客的主要攻擊目標,而且台灣首當其衝。當駭客把供應鏈當作獲利主力提款機,該如何防禦?《TechOrange》舉辦「2024 H1 資安實戰演練大會」,邀請趨勢科技資深技術顧問黃源慶分享如何強化供應鏈資安思維,避免斷鏈的營業損失。

黃源慶指出,自 2021 年起供應鏈攻擊開始變得普及,幾乎每個月國際上都會傳出相關事件。更值得關注的攻擊態勢是過往一些針對大型政府的國家級組織駭客,現在也開始把注意力轉往供應鏈,透過致命一擊,造成損失規模最大化的影響。

駭客愛打供應鏈,上下游廠商眾多總能找到弱點

通常企業已有普遍意識要針對自家的網路做基礎、進階的防護,但是防守自家的邊界並不夠。供應鏈因為有眾多供應商,甚至還有二級、三級供應商網網相連,可存取一些內部系統的綠色通道,駭客就會鑽漏洞然後讓攻擊暢行無阻。這也就代表駭客掌握綿長供應鏈的短板效應——意即挑中供應鏈最弱的環節往死裡打,並且從中擷取獲利。

另外,也會看到加密勒索的駭客,瞄準供應鏈弱點以癱瘓生產、外洩營業秘密的方式,來索取贖金。通常攻擊的發生都是快狠準,讓人措手不及,並且勒索金額非常龐大,過往台廠 Acer、廣達都曾受此害。

Toyota 損失 3.75 億美金,駭客造成日本 14 間工廠全停機

例如日本汽車大廠 Toyota 的零件供應商小島沖壓遭駭客攻擊,導致日本境內 14 間工廠、28 條生產線全部都預防性停工,估計受影響生產車輛達到 1.3 萬台,並且造成 3.75 億美金的損失。接著2022 年也發生 Toyota 位於德國的關係企業電裝公司(Denso)遭植入勒索軟體 Pandora,造成 高達 15 萬筆資料外洩。

面對供應鏈遭逢如此龐大威脅,黃源慶表示:「企業的策略就是要去有效的減緩攻擊者的進程。」

掌握 AI 趨勢 & 活動資訊一點都不難!訂閱電子報,每週四一起《AI TOgether》

感謝訂閱!隨時注意信箱的最新資訊

主動強化供應鏈防禦能力,讓駭客攻擊不要太順利

黃源慶建議必須要主動評估風險、緩解風險從而減少攻擊面,盤點供應鏈中的系統風險,將安全性集成帶到開發流程中,確保應用在上線前就是安全無虞,並且確保零信任原則真正落實到日常業務中,增加駭客攻擊時的阻礙。同時,他也呼籲企業必須要有能力去識別潛在的供應鏈威脅、針對緊急狀況發生時對營運的影響程度,與積極的實施對策將風險降到最低。

這代表供應鏈需要轉變過往舉措,透過主動式的監測,動態應對外部狀況。透過平台式管理,將風險可視化,並且持續監測系統與流程,掃瞄出弱點與自動化部署監測回應,才能讓資源有限的資安人員專注於補救高風險漏洞。

為了要提升整個供應鏈的防禦能力,企業的資安戰技與技能提升刻不容緩,善用科技、降低風險,並且持續提升台灣供應鏈的資安韌性與戰鬥力。

看更多趨勢科技資深技術顧問黃源慶、AWS 等多位講者的精彩演講回顧

立即預約索取【2024H1 資安實戰演練大會】演講精華

【延伸閱讀】

【曾三天痛失 25.9 億台幣】台積電的資安攻防戰,如何順便催生全球首個半導體資安標準?
《彭博》揭開「製造供應鏈最關鍵角色」日本獨有的資安文化
【供應鏈需採取的變革】IDC:亞太前 2 千大企業,將有 60% 導入生成式AI 至供應鏈

*本文開放夥伴轉載,首圖來源:TechOrange 攝影。