供應鏈資安問題的對策

閱讀時間約 3 分鐘
2020年12月13日爆發的太陽風 (SolarWinds)駭客攻擊事件造成對美國政府機構有史以來範圍最廣程度最深的傷害,受害單位包括財政部、能源部、國土安全部、司法部、國家安全局等。假如此次攻擊真是俄國國外情報局所為,則不幸中的大幸是從目前存在的證據來看,它似乎沒有對11月3日的美國總統大選產生足以動搖結果的影響。太陽風攻擊事件充分曝顯了供應鏈攻擊 (supply chain attack) 的嚴重性: 駭客先分析攻擊目標單位所使用的軟體,找出這些軟體產品的供應商中資安防護較差的,入侵他們的軟體更新遞送設施,將惡意程式植入其最新軟體版本,再藉由軟體更新機制送入攻擊目標單位。
其實台灣也不乏供應鏈攻擊的本土案例。2018年6月到11月間,華碩的軟體更新伺服器遭駭客利用將藏有惡意程式且有華碩數位簽章的新版軟體散佈到至少數以萬計的華碩筆電上。今年1月7日,刑事局表示,約9.4萬支台灣大哥大自有品牌Amazing A32手機在出廠前被駭客於韌體記憶區植入惡意程式,所以即使重啟或重置手機也無法移除此惡意程式。經此事件後台灣大哥大清查所有Amazing牌手機機種,發現只有Amazing A32是委託大陸廠商代工,其他非陸廠代工的機種都沒有類似的資安問題。
仔細分析過往軟體供應鏈攻擊的案例,可以歸納以下四類攻擊模式。第一類,軟體供應商本身就是攻擊者。舉例而言,花一億美金買下一家擁有成千上萬企業客戶的軟體公司,以利用它的軟體產品作為運送惡意程式的特洛伊木馬,這與辛辛苦苦開發網絡攻擊然後試圖逐一侵入個別企業相比,似乎是相對便宜可行的攻擊方式。第二類,軟體供應商被攻擊者所駭,其軟體產品因而遭埋入惡意程式,太陽風攻擊屬於此類。第三類,軟體供應商的產品使用含惡意程式的第三方軟體如開源軟體。第四類,軟體供應商的產品使用含易遭駭的程式漏洞的第三方軟體如開源軟體。因為當代軟體產品使用大量開源軟體套件而開源軟體的版本管理機制相對鬆散,所以駭客有較多機會將惡意程式或程式漏洞植入常用的開源軟體套件。
美國國務院於2020年4月所倡議的「乾淨網路計劃」(Clean Network program) 要求參加的電信營運商不要使用含中國軟體的電信設備(如華為),這種堅壁清野、先發制人的措施意在預防第一類供應鏈攻擊。
台積電除了加強自身的資安防護,也開始要求其供應商建立起碼的資安規範並將其列入例行稽核項目之中,這種確保每個產業生態圈成員都建置適當的資安自衛力量,應能有效對付第二類供應鏈攻擊。
要抵禦第三及第四類供應鏈攻擊需每個生產內含軟體的設備的開發廠商為其設備上的軟體建立軟體元件清單 (SBOM or Software Bill of Materials) ,此清單應明列所有使用的開源軟體套件,和每個套件的已知漏洞、主力開發者及其所屬公司組織。因為台灣許多電子機械網通設備公司在未來都將需為其產品建立SBOM,由公部門建立一個能符合溯源要求、持續追踪更新的開源軟體資料庫讓廠商共享,可以大幅降低國內產業製作SBOM的成本。除此之外,要更有效處理這兩類供應鏈攻擊另需可以掃描開源軟體原始碼,進而指認出其中可能惡意軟體或漏洞所在的程式分析工具,可惜這樣的工具還不完全成熟需要進一步研發。
    avatar-img
    1會員
    22內容數
    留言0
    查看全部
    avatar-img
    發表第一個留言支持創作者!
    三家村語的沙龍 的其他內容
    因為太陽風資安事件給我們最大的啟示是,一個不怎麼起眼的商業應用程式,如檔案格式轉換工具,就有可能暗藏洩漏價值連城know-how的後門程式, 進而演變成護國神山下的暗流。
    鑑於自動攻防技術的戰略重要性,為今之計,政府應在最短時間內結合學界、法人與軍方的資安研發能量、強力籌組國家級自動攻防技術研發團隊,以圖快速迎頭趕上,進而與對岸並駕齊驅,俾能及早體現「資安即國安」的積極意義。
    TerraUSD應將壽終正寢、再無翻身之可能。它的貨幣供給量調節演算法既未經過嚴謹的數學證明、更乏實戰的淬鍊,再加上其存款服務疑似老鼠會式的商模引發類擠兌行為,導至偏離維穩演算法預設的操作範圍,始則左支右絀、捉襟見肘,終至每況愈下、萬劫不復。
    過去一些成果是不是表示台灣是否已經成功培養出能提升其資安國力所需的資安產業人才?其實答案是否定的。真正能開發資安工具自動化的人才對系統軟體(如作業系統、編譯器、虛擬機監視器)、資安攻防手法、人工智慧技術通常有多年浸淫的實戰經驗,也將是台灣資安產業能否破繭而出的關鍵研發力量。
    認知作戰造成文化族群對立衝突的加劇、對政府和公正團體信任的降低、及藉由氾濫成災、真假難辨的訊息養成群眾的冷漠與無力感。網路風向哄抬在認知作戰中扮演重要的角色,如能即時辨識並披露人工哄抬的網路風向,將可有效降低此類認知作戰的成功率,進而促使網路風向經由廣泛深入的討論而自然形成。
    美國兩大政黨之一(共和黨)不再視另一政黨為合法的政治理念的競爭者,而是事關族群文化生存戰爭中不具正當性的敵人。對於如此勢不兩立的敵手,政治鬥爭手段自政治鬥爭手段自然無所不用其極。鑑於傾向共和黨的選民數逐年下滑,善用美國憲法中善用美國憲法中保護政治少數的設計乃成為反敗為勝的主要戰略。
    因為太陽風資安事件給我們最大的啟示是,一個不怎麼起眼的商業應用程式,如檔案格式轉換工具,就有可能暗藏洩漏價值連城know-how的後門程式, 進而演變成護國神山下的暗流。
    鑑於自動攻防技術的戰略重要性,為今之計,政府應在最短時間內結合學界、法人與軍方的資安研發能量、強力籌組國家級自動攻防技術研發團隊,以圖快速迎頭趕上,進而與對岸並駕齊驅,俾能及早體現「資安即國安」的積極意義。
    TerraUSD應將壽終正寢、再無翻身之可能。它的貨幣供給量調節演算法既未經過嚴謹的數學證明、更乏實戰的淬鍊,再加上其存款服務疑似老鼠會式的商模引發類擠兌行為,導至偏離維穩演算法預設的操作範圍,始則左支右絀、捉襟見肘,終至每況愈下、萬劫不復。
    過去一些成果是不是表示台灣是否已經成功培養出能提升其資安國力所需的資安產業人才?其實答案是否定的。真正能開發資安工具自動化的人才對系統軟體(如作業系統、編譯器、虛擬機監視器)、資安攻防手法、人工智慧技術通常有多年浸淫的實戰經驗,也將是台灣資安產業能否破繭而出的關鍵研發力量。
    認知作戰造成文化族群對立衝突的加劇、對政府和公正團體信任的降低、及藉由氾濫成災、真假難辨的訊息養成群眾的冷漠與無力感。網路風向哄抬在認知作戰中扮演重要的角色,如能即時辨識並披露人工哄抬的網路風向,將可有效降低此類認知作戰的成功率,進而促使網路風向經由廣泛深入的討論而自然形成。
    美國兩大政黨之一(共和黨)不再視另一政黨為合法的政治理念的競爭者,而是事關族群文化生存戰爭中不具正當性的敵人。對於如此勢不兩立的敵手,政治鬥爭手段自政治鬥爭手段自然無所不用其極。鑑於傾向共和黨的選民數逐年下滑,善用美國憲法中善用美國憲法中保護政治少數的設計乃成為反敗為勝的主要戰略。
    你可能也想看
    Google News 追蹤
    Thumbnail
    這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
    Thumbnail
    11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
    Thumbnail
    Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
    Thumbnail
    可能包含敏感內容
    ASML於24日公布2023年第四季營收數據,相關數據均優於預期。值得注意的是,Q4的淨接單金額高達92億歐元,較Q3的約26億歐元激增近2.5倍,其中,EUV微影系統訂單高達52億歐元............
    Thumbnail
    ASML 先進EUV 設備訂單旺,台股供應鏈觀察 每日自選及盤後觀察:律勝、安可、州巧、旺久、新復興 週末選股觀察:智原、中美晶、群創、訊芯 QA:志聖、昇達科、南俊國際、勝德、成霖、南亞
    Thumbnail
    比特幣狂飆突破4.2萬美元,版卡族群多檔漲停 11月營收佳,健椿、邁達特、安格漲停 強勢股:華建、長榮鋼大漲;聯上回檔
    Thumbnail
    亞洲人普遍沒聽過的藥品流通王者-麥克森是如何在去年及今年股價表現狠甩標普500指數一條街的呢?未來的醫療產業趨勢還能持續帶給麥克森相關優勢嗎?大家都在擔心高利率下美國及全球可能步入衰退,那麼你值得考慮麥克森!
    Thumbnail
    總之先來看一下這次書評的來源吧: https://vocus.cc/article/6246e4f3fd897800019647a6 不管好評壞評,只要有評就是值得高興的事。而且這次的書評似乎還不壞呢? 下面就由本組的殺人皮卡丘,稍微調低一點伏特數來做回應吧? ~~~ 那些關於風格問題的書評:
    Thumbnail
    我本以為可以很快寫完ROKU的財報分析,但晚上邊讀ROKU管理層的電話會議紀錄,裡面具體而微地描述了供應鏈問題對廣告產業的衝擊,不像前面其他廣告營收公司像SNAP、PERI、APPS那些,都只有一兩句帶過去。我花了不少時間消化他們的敘述,也跟其他公司管理層的說法作了比對後,得出一些看法。
    Thumbnail
    自從 2020 年初爆發了COVID-19 (新冠病毒) ,不單許多國家造成威脅,也影響了全球的經濟。對於汽車供應鏈來說,更是一大衝擊。
    Thumbnail
    許多長輩有定期到醫療院所回診的需求,但每一次的看診,對於年歲已高的年長者而言就有些困難,擔心在人來人往的診間迷路、等待時間過長、不曉得何時輪到自己。更重要的是,面對疾病時不知道該如何詢問、對於未來治療方向也不清楚…
    Thumbnail
    安家神或家中供奉神尊、菩薩、法尊 只是代表這個家受到供奉的神明保護及庇祐 或被納入神明的管轄巡邏勢力範圍 同時成為家中心靈及保祐的寄託 神明、神佛都是來來去去,不會一直呆在家中或金身裡 (整天都呆在金身裡,那神明都不用做事幹活了,想想也知道不可能) 有事或定時才會過來巡視或派兵將、兵員過來巡視
    Thumbnail
    這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
    Thumbnail
    11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
    Thumbnail
    Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
    Thumbnail
    可能包含敏感內容
    ASML於24日公布2023年第四季營收數據,相關數據均優於預期。值得注意的是,Q4的淨接單金額高達92億歐元,較Q3的約26億歐元激增近2.5倍,其中,EUV微影系統訂單高達52億歐元............
    Thumbnail
    ASML 先進EUV 設備訂單旺,台股供應鏈觀察 每日自選及盤後觀察:律勝、安可、州巧、旺久、新復興 週末選股觀察:智原、中美晶、群創、訊芯 QA:志聖、昇達科、南俊國際、勝德、成霖、南亞
    Thumbnail
    比特幣狂飆突破4.2萬美元,版卡族群多檔漲停 11月營收佳,健椿、邁達特、安格漲停 強勢股:華建、長榮鋼大漲;聯上回檔
    Thumbnail
    亞洲人普遍沒聽過的藥品流通王者-麥克森是如何在去年及今年股價表現狠甩標普500指數一條街的呢?未來的醫療產業趨勢還能持續帶給麥克森相關優勢嗎?大家都在擔心高利率下美國及全球可能步入衰退,那麼你值得考慮麥克森!
    Thumbnail
    總之先來看一下這次書評的來源吧: https://vocus.cc/article/6246e4f3fd897800019647a6 不管好評壞評,只要有評就是值得高興的事。而且這次的書評似乎還不壞呢? 下面就由本組的殺人皮卡丘,稍微調低一點伏特數來做回應吧? ~~~ 那些關於風格問題的書評:
    Thumbnail
    我本以為可以很快寫完ROKU的財報分析,但晚上邊讀ROKU管理層的電話會議紀錄,裡面具體而微地描述了供應鏈問題對廣告產業的衝擊,不像前面其他廣告營收公司像SNAP、PERI、APPS那些,都只有一兩句帶過去。我花了不少時間消化他們的敘述,也跟其他公司管理層的說法作了比對後,得出一些看法。
    Thumbnail
    自從 2020 年初爆發了COVID-19 (新冠病毒) ,不單許多國家造成威脅,也影響了全球的經濟。對於汽車供應鏈來說,更是一大衝擊。
    Thumbnail
    許多長輩有定期到醫療院所回診的需求,但每一次的看診,對於年歲已高的年長者而言就有些困難,擔心在人來人往的診間迷路、等待時間過長、不曉得何時輪到自己。更重要的是,面對疾病時不知道該如何詢問、對於未來治療方向也不清楚…
    Thumbnail
    安家神或家中供奉神尊、菩薩、法尊 只是代表這個家受到供奉的神明保護及庇祐 或被納入神明的管轄巡邏勢力範圍 同時成為家中心靈及保祐的寄託 神明、神佛都是來來去去,不會一直呆在家中或金身裡 (整天都呆在金身裡,那神明都不用做事幹活了,想想也知道不可能) 有事或定時才會過來巡視或派兵將、兵員過來巡視