對網路駭客來說，軟體供應鏈是相當誘人的攻擊目標。一旦供應鏈遭網路攻擊，將暴露出大量且種類廣泛的敏感資訊，轉賣這些資訊就能坐享大筆酬勞，也因此在 2020、2021 年間，軟體供應鏈攻擊事件大幅增加三倍以上，同時有 62% 的企業組織遭到此類型攻擊。且勒索軟體結合供應鏈攻擊，會讓受波及的企業更廣泛。

據《工商時報》，2021 年 7 月，美國 IT 服務業者 Kaseya 遭到勒索軟體組織 REvil 網路攻擊，REvil 一方面利用勒索軟體綁架電腦資料，要求 7 千萬美元比特幣贖金，另一方面在 Kaseya 軟體中嵌入惡意程式。當 Kaseya 軟體向客戶發布自動更新時，惡意程式也隨之入侵客戶端，影響上千家企業用戶。

Kaseya 專門開發網路、系統與資訊科技基礎設施託管軟體，在全球共有 3.7 萬家企業用戶，規模從小到大都有，涵蓋金融、旅遊、休閒產業及各國政府單位。加上這些企業用戶當中不乏他國 IT 服務業者，例如荷蘭兩大 IT 服務業者 VelzArt 及 Hoppenbrouwer Techniek，也就是說這兩家公司的服務對象也可能受到波及，整體受害企業數量遠比估計的要多。

此事更驚動了白宮，當時美國總統拜登（Joy Biden）指示，包括 FBI 與 CISA 等美國政府組織全力協助 Kaseya。

♦ TO 延伸閱讀：【這個朋友台灣必須交】國會、銀行、內閣、媒體與廣播都被駭——愛沙尼亞扳倒俄國駭客血淚史

何謂軟體供應鏈攻擊？

軟體供應鏈攻擊也被稱為第三方攻擊、「後門外洩」（backdoor breach），指駭客透過第三方夥伴或軟體服務商，滲透組織網路系統；這類攻擊往往起始於軟體供應鏈上某個弱點，範圍大且難以偵測，單單一筆資料外洩就可能同時造成上千人受害。

隨著更多軟體供應商、服務商掌握更大量的敏感資訊，近幾年來供應鏈攻擊明顯增加，美國拜登政府也意識到此問題嚴重性，早在 2021 年 5 月就向大眾提出警示。

♦ TO 延伸閱讀：在戰爭爆發時守住醫院與電網！歐盟全新資安指令怎麼抵禦新形態戰爭？

軟體供應鏈攻擊為何猖獗？

Crystal Morin 是任職於美國雲端資安公司「Sysdig」的威脅研究工程師，他認為供應鏈攻擊成本低、難度低、預期報酬高，且相關工具和技術都能輕易藉由網路取得，例如資安公司就經常在自家官網揭露攻擊事件始末，有心人士可以迅速習得進階技術，甚至直接複製攻擊模式。

此外，當惡意軟體瞄準供應鏈攻擊，標的物更大、更難失手。

美國供應鏈資安系統商「Chainguard」資深工程師 Zack Newman 也說，當駭客鎖定整條供應鏈為攻擊對象，就不用等該組織曝露弱點──他只需要在依存關係中找到一個潛在安全問題，就有辦法進行攻擊，進而對上百或上千個下游組織造成衝擊。

♦ TO 延伸閱讀：台灣缺資安人才，怎麼解？奧義智慧創辦人邱銘彰，用人體比喻讓你搞懂資安

供應鏈攻擊案例屢見不鮮

像是在 2021 年「Codecov」軟體測試數據平台，事前沒有任何預警，就被惡意植入動過手腳的「Docker」程式碼，導致超過 29,000 名大型企業客戶受害，其中包含 IBM、Google、HP、P&G，甚至是加拿大皇家銀行，攻擊事件悄悄蔓延好幾個月才被發現。

類似這樣的供應鏈攻擊絕非個案，Gartner 最新報告數據顯示，2025 年前全球將有 45% 的組織淪為軟體供應鏈攻擊對象。

♦ TO 延伸閱讀：70 萬資安生力軍仍填不了市場缺口，企業還能上哪找人？

三點防禦守則，提升資安防護

觀察近期幾起攻擊事件可以發現，市面上沒有任何一套資安工具能提供滴水不漏的防禦，只要有一個潛在漏洞被發現，後果可能就不堪設想；為此，科技媒體《Venture Beat》整理出以下三點防禦守則：

1. 資安防禦必須做得夠深，且須符合多層次的資安政策，例如邊緣防護、終端防護、多因素驗證（MFA）與使用者培訓；組織也須致力於培養堅實的復原能力，包含可靠的備用系統，以及攻擊事件過後，可投入修復工作的技術專家。
2. 組織必須留心每一套使用中的軟體是否安全無虞，包含開源與第三方軟體，尤其前者的安全性很容易遭到忽略。
3. 雖然多數終端資安攻擊事件都是遭到惡意軟體攻擊，別忘了這只是其中一種駭客手段，組織必須時時留意新型態犯罪手法，例如挖礦劫持（cryptojacking）、以「身分」為攻擊對象的網路威脅，還有機密擷取。

目前做好資安防禦是最基本的作法，而資安領域不斷出現軟體供應鏈相關研究與創新，產界、學界都在努力尋找一勞永逸的解決方法，而不是像現今人們慣用的「壞了再補」被動防禦。

本圖/文由「Techorange科技報橘」授權刊登，非經同意不得任意轉載。
原文出處：別當下一個被勒索 7 千萬美元的公司！企業如何應對軟體供應鏈攻擊？