近日晶圆代工龙头台积电因机台上线前未做好病毒扫描,导致 WannaCry 变种病毒入侵影响晶圆出货时程以及成本增加,资诚智能风险管理咨询(PWC)指出,从事件始末观察,来自供应商的资安威胁不容忽视。
资诚智能风险管理咨询执行董事张晋瑞指出,供应商协助新系统上线或安装新软件造成资安事故的新闻时有耳闻,其背后有 3 个点值得思考。首先,内部使用的系统环境可受攻击的面向较少,其资安的更新程式更新是否没有和对外系统同等级?也就是说,就算是已知的病毒,也可能对内部系统造成巨大影响。
其次,新系统、新软件的上线流程是否完备且落实,且依照公司系统强化标准(System Hardening)设定后才上线?最后,若真的发生资安事故,能否将受影响的范围限缩在最小的程度?而不是全面系统、网络都遭感染,这与纵深防御的网络规划有关。
张晋瑞表示,供应商是一个常见的资安威胁来源,原因在于供应商对资安的要求可能没有那么高,加上在封闭式的环境中资安威胁面向原本就不多,很容易造成管理上的疏忽,以致应执行的标准作业流程没有确切落实。
而对于相关资安事件的发生,张晋瑞建议,企业应优先进行以下 6 个防范步骤,以降低供应商的资安威胁:
- 加强对供应商的资安要求,例如要求供应商应取得相关的资安认证,确保资安符合一定水准。
- 确切落实标准作业流程,否则再强大的资安防护设备或措施,也经不起人为疏失。
- 企业应考虑多层次的纵深防御,这是阻挡病毒扩散的常见手法。
- 常见的病毒扫描仅能防范已知病毒,对于更先进的病毒攻击无法防范。重要系统上线前,应先在测试区完整检测,经评估无异常后才能到正式区使用。
- 可使用白名单机制,这对防止未知程式(如病毒)执行比防毒软件更有效。
- 在建构网络安全计划时,除了网络安全政策,企业应将 “网络安全人员和培训”及“涉及网络安全之员工培训和监督”列为重点,降低人为风险。
(首图来源:科技新报摄)
