【2021資安大預測】趨勢5：供應鏈攻擊｜臺灣遭遇多起供應鏈攻擊，此類事件未來勢必有增無減

近年來，供應鏈攻擊手法越來越常見，不僅是透過軟體供應鏈的入侵，從相關委外廠商與合作廠商的滲透行為，也都成為2021持續要正視的焦點。

臺灣已發生APT攻擊事件，調查後是與軟體供應鏈有關

可別以為臺灣企業與組織遭遇的供應鏈攻擊不多，事實上，近一兩年來，臺灣就遭遇多起APT攻擊事件，經調查後，這些與供應鏈有關。

在2020年8月臺灣資安大會上，國內資安業者奧義智慧指出，供應鏈攻擊增加的趨勢需要關注。他們舉例，有駭客組織鎖定國內政府機關攻擊，因此鎖定政府單位都會導入的政府共通組態基準（GCB），並成功偽裝合法程式FGCBUpdater.exe並派送；後續，又發現國內有5個A級政府機關與地方政府，被植入Plead惡意程式，原因是駭客入侵華碩雲端儲存服務的軟體更新服務，作為惡意程式下載的途徑。

不只是政府機關遭駭客鎖定，國內半導體業者也是目標，例如有竹科公司遭遇APT攻擊的事件，發現惡意程式偽裝成Google Chrome更新程式，駭客並利用雲端服務建置中繼站，進一步掩飾惡意行為。

而在2020年下半，我國法務部調查局資安工作站也公開示警，指出政府單位委外廠商成入侵管道。例如，在他們偵辦的數起案件中，遭駭的原因是承包政府標案的供應鏈廠商遭入侵，使得原本政府機關提供VPN帳號供業者遠端操作維運，變成駭客可以遠端入侵的破口。而且，當這些政府委外廠商遭駭時，委外廠商所託管的政府伺服器與主機也可能遭到駭侵。

從上述這些供應鏈攻擊相關事件，其實可以看出供應鏈攻擊的變化多端。駭客為了滲透目標企業，除了選擇直接正面攻擊，一旦發現滲透目標相關的軟體廠商、委外廠商與合作夥伴，有更好的弱點可以利用時，都有可能被駭客視為入侵管道。

將委外廠商與合作廠商納入守備範圍成新趨勢

對於委外供應商方面的攻擊趨勢，國內調查局已經提醒政府機關與企業，檢討委外廠商透過VPN遠端進行管理的必要性，是當務之急，並要監控駭客可能擅自建立加密連線通道的非法行為。此外，對於這些委外供應商的資安防護水準，該如何提升與規範，也成為接下來要關注的重點。

至於如何強化供應商的安全，近年我們看到半導體龍頭台積電設立了供應商資訊安全協會，這樣的作法值得肯定。

還記得在2020年臺灣資安大會上，台積電部經理張啟煌在一場專題演講曾講過一句話：「如果我家圍牆築得很高，可是我的鄰居都遭小偷了，那我住起來會安心嗎？」

該公司為了確保公司的持續營運與競爭力，他們對於供應商與合作夥伴，會透過第三方服務做到快速風險評估，以及公司本身設計的一套專屬的評鑑方式，來協助供應商改善其資安。而這樣的模式，其實也將能夠帶動臺灣更多產業做好資安，至於是否能在2021年成功複製到其他產業生態鏈，也成為產業資安上的焦點。

SolarWinds事件風暴持續擴大，再次敲響供應鏈攻擊的警鐘

對於軟體供應鏈方面的攻擊趨勢，則相當令人憂心，因為在2020年底，美國政府機構遭遇的國家級SolarWinds供應鏈攻擊事件，更是突顯了這類攻擊的危害極大，並且是防不勝防。

關於這起事件，一開始是美國資安公司FireEye遭駭，宣布他們的紅隊演練測試工具外流，隔週又有美國財政部與商務部表示遇害，而且，這場風暴遠演越烈，後許微軟也證實多家客戶遇害，且自家內部程式碼也遭未經授權存取。而這一切攻擊，都是因為企業及組織使用的網路監控軟體公司SolarWinds，早在2019年10月就被滲透，以至於公司的Orion軟體後來被植入名為SunBurst的後門。不僅如此，隨著持續揭露的事件調查報告，該公司軟體還發現應為不同攻擊的第二個後門程式Supernova。

這也說明了，現在的駭客組織不僅擅長突破防護機制，隱匿能力也相當高明。而且，駭客以企業組織使用的軟體為突破口，他們除了可以攻陷該軟體廠商的開發環境、軟體、更新部署，也可能從開源軟體下手，甚至是濫用與偽冒，因此整個開發維運環節，都存在軟體供應鏈攻擊的風險。

然而在2021年，我們還是需要面對這樣的威脅，除了軟體業者要意識到，在各環節落實安全，而在弱點管理方面，近年資安界也提倡軟體物料清單的概念，讓第三方套件有弱點揭露時可及早修補。另一方面，對企業與組織而言，勢必要更看重偵測、應變與復原，以及攻擊情資的交換與聯防。