近日晶圓代工龍頭台積電因機台上線前未做好病毒掃描,導致 WannaCry 變種病毒入侵影響晶圓出貨時程以及成本增加,資誠智能風險管理諮詢(PWC)指出,從事件始末觀察,來自供應商的資安威脅不容忽視。
資誠智能風險管理諮詢執行董事張晉瑞指出,供應商協助新系統上線或安裝新軟體造成資安事故的新聞時有耳聞,其背後有 3 個點值得思考。首先,內部使用的系統環境可受攻擊的面向較少,其資安的更新程式更新是否沒有和對外系統同等級?也就是說,就算是已知的病毒,也可能對內部系統造成巨大影響。
其次,新系統、新軟體的上線流程是否完備且落實,且依照公司系統強化標準(System Hardening)設定後才上線?最後,若真的發生資安事故,能否將受影響的範圍限縮在最小的程度?而不是全面系統、網路都遭感染,這與縱深防禦的網路規畫有關。
張晉瑞表示,供應商是一個常見的資安威脅來源,原因在於供應商對資安的要求可能沒有那麼高,加上在封閉式的環境中資安威脅面向原本就不多,很容易造成管理上的疏忽,以致應執行的標準作業流程沒有確切落實。
而對於相關資安事件的發生,張晉瑞建議,企業應優先進行以下 6 個防範步驟,以降低供應商的資安威脅:
- 加強對供應商的資安要求,例如要求供應商應取得相關的資安認證,確保資安符合一定水準。
- 確切落實標準作業流程,否則再強大的資安防護設備或措施,也經不起人為疏失。
- 企業應考慮多層次的縱深防禦,這是阻擋病毒擴散的常見手法。
- 常見的病毒掃描僅能防範已知病毒,對於更先進的病毒攻擊無法防範。重要系統上線前,應先在測試區完整檢測,經評估無異常後才能到正式區使用。
- 可使用白名單機制,這對防止未知程式(如病毒)執行比防毒軟體更有效。
- 在建構網路安全計畫時,除了網路安全政策,企業應將 「網路安全人員和培訓」及「涉及網路安全之員工培訓和監督」列為重點,降低人為風險。
(首圖來源:科技新報攝)
