【2021资安大预测】趋势5：供应链攻击｜台湾遭遇多起供应链攻击，此类事件未来势必有增无减

近年来，供应链攻击手法越来越常见，不仅是透过软件供应链的入侵，从相关委外厂商与合作厂商的渗透行为，也都成为2021持续要正视的焦点。

台湾已发生APT攻击事件，调查后是与软件供应链有关

可别以为台湾企业与组织遭遇的供应链攻击不多，事实上，近一两年来，台湾就遭遇多起APT攻击事件，经调查后，这些与供应链有关。

在2020年8月台湾资安大会上，国内资安业者奥义智慧指出，供应链攻击增加的趋势需要关注。他们举例，有骇客组织锁定国内-机关攻击，因此锁定-单位都会导入的-共通组态基准（GCB），并成功伪装合法程式FGCBUpdater.exe并派送；后续，又发现国内有5个A级-机关与地方-，被植入Plead恶意程式，原因是骇客入侵华硕云端储存服务的软件更新服务，作为恶意程式下载的途径。

不只是-机关遭骇客锁定，国内半导体业者也是目标，例如有竹科公司遭遇APT攻击的事件，发现恶意程式伪装成Google Chrome更新程式，骇客并利用云端服务建置中继站，进一步掩饰恶意行为。

而在2020年下半，我国法务部调查局资安工作站也公开示警，指出-单位委外厂商成入侵管道。例如，在他们侦办的数起案件中，遭骇的原因是承包-标案的供应链厂商遭入侵，使得原本-机关提供VPN账号供业者远端操作维运，变成骇客可以远端入侵的破口。而且，当这些-委外厂商遭骇时，委外厂商所托管的-服务器与主机也可能遭到骇侵。

从上述这些供应链攻击相关事件，其实可以看出供应链攻击的变化多端。骇客为了渗透目标企业，除了选择直接正面攻击，一旦发现渗透目标相关的软件厂商、委外厂商与合作伙伴，有更好的弱点可以利用时，都有可能被骇客视为入侵管道。

将委外厂商与合作厂商纳入守备范围成新趋势

对于委外供应商方面的攻击趋势，国内调查局已经提醒-机关与企业，检讨委外厂商透过VPN远端进行管理的必要性，是当务之急，并要监控骇客可能擅自建立加密连线通道的非法行为。此外，对于这些委外供应商的资安防护水准，该如何提升与规范，也成为接下来要关注的重点。

至于如何强化供应商的安全，近年我们看到半导体龙头台积电设立了供应商资讯安全协会，这样的作法值得肯定。

还记得在2020年台湾资安大会上，台积电部经理张启煌在一场专题演讲曾讲过一句话：“如果我家围墙筑得很高，可是我的邻居都遭小偷了，那我住起来会安心吗？”

该公司为了确保公司的持续营运与竞争力，他们对于供应商与合作伙伴，会透过第三方服务做到快速风险评估，以及公司本身设计的一套专属的评鉴方式，来协助供应商改善其资安。而这样的模式，其实也将能够带动台湾更多产业做好资安，至于是否能在2021年成功复制到其他产业生态链，也成为产业资安上的焦点。

SolarWinds事件风暴持续扩大，再次敲响供应链攻击的警钟

对于软件供应链方面的攻击趋势，则相当令人忧心，因为在2020年底，美国-机构遭遇的国家级SolarWinds供应链攻击事件，更是突显了这类攻击的危害极大，并且是防不胜防。

关于这起事件，一开始是美国资安公司FireEye遭骇，宣布他们的红队演练测试工具外流，隔周又有美国财政部与商务部表示遇害，而且，这场风暴远演越烈，后许微软也证实多家客户遇害，且自家内部程式码也遭未经授权存取。而这一切攻击，都是因为企业及组织使用的网络监控软件公司SolarWinds，早在2019年10月就被渗透，以至于公司的Orion软件后来被植入名为SunBurst的后门。不仅如此，随着持续揭露的事件调查报告，该公司软件还发现应为不同攻击的第二个后门程式Supernova。

这也说明了，现在的骇客组织不仅擅长突破防护机制，隐匿能力也相当高明。而且，骇客以企业组织使用的软件为突破口，他们除了可以攻陷该软件厂商的开发环境、软件、更新部署，也可能从开源软件下手，甚至是滥用与伪冒，因此整个开发维运环节，都存在软件供应链攻击的风险。

然而在2021年，我们还是需要面对这样的威胁，除了软件业者要意识到，在各环节落实安全，而在弱点管理方面，近年资安界也提倡软件物料清单的概念，让第三方套件有弱点揭露时可及早修补。另一方面，对企业与组织而言，势必要更看重侦测、应变与复原，以及攻击情资的交换与联防。