欢迎光临GGAMen游戏资讯




台积电染毒,PWC 指要注意供应商资安并采取 6 大步骤降低风险

2024-12-28 207

近日晶圆代工龙头台积电因机台上线前未做好病毒扫描,导致 WannaCry 变种病毒入侵影响晶圆出货时程以及成本增加,资诚智能风险管理咨询(PWC)指出,从事件始末观察,来自供应商的资安威胁不容忽视。

资诚智能风险管理咨询执行董事张晋瑞指出,供应商协助新系统上线或安装新软件造成资安事故的新闻时有耳闻,其背后有 3 个点值得思考。首先,内部使用的系统环境可受攻击的面向较少,其资安的更新程式更新是否没有和对外系统同等级?也就是说,就算是已知的病毒,也可能对内部系统造成巨大影响。

其次,新系统、新软件的上线流程是否完备且落实,且依照公司系统强化标准(System Hardening)设定后才上线?最后,若真的发生资安事故,能否将受影响的范围限缩在最小的程度?而不是全面系统、网络都遭感染,这与纵深防御的网络规划有关。

张晋瑞表示,供应商是一个常见的资安威胁来源,原因在于供应商对资安的要求可能没有那么高,加上在封闭式的环境中资安威胁面向原本就不多,很容易造成管理上的疏忽,以致应执行的标准作业流程没有确切落实。

而对于相关资安事件的发生,张晋瑞建议,企业应优先进行以下 6 个防范步骤,以降低供应商的资安威胁:

  1. 加强对供应商的资安要求,例如要求供应商应取得相关的资安认证,确保资安符合一定水准。
  2. 确切落实标准作业流程,否则再强大的资安防护设备或措施,也经不起人为疏失。
  3. 企业应考虑多层次的纵深防御,这是阻挡病毒扩散的常见手法。
  4. 常见的病毒扫描仅能防范已知病毒,对于更先进的病毒攻击无法防范。重要系统上线前,应先在测试区完整检测,经评估无异常后才能到正式区使用。
  5. 可使用白名单机制,这对防止未知程式(如病毒)执行比防毒软件更有效。
  6. 在建构网络安全计划时,除了网络安全政策,企业应将 “网络安全人员和培训”及“涉及网络安全之员工培训和监督”列为重点,降低人为风险。

(首图来源:科技新报摄)

2019-03-14 08:30:00

标签:   游戏头条 资讯头条 ggamen科技资讯 ggamen科技 ggamen科技资讯头条 科技资讯头条 ggamen游戏财经 新闻网 科技新闻网 科技新闻 ggamen ggamen游戏新闻网 科技新闻 新闻网 ggamen游戏财经 ggamen科技资讯头条 ggamen科技 ggamen科技资讯 资讯头条 游戏头条 ggamen ggamen游戏新闻网 科技新闻 科技新闻网 新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯头条 ggamen科技 资讯头条
0