當企業軟體更新服務被駭客盯上

臺灣筆電大廠華碩的Live Update伺服器遭駭，引發各界對更新伺服器與程式碼簽章防護的關注，同時也顯示軟體供應鏈攻擊的資安威脅，持續在我們生活周遭發生 

近年來國際上已有多起軟體供應鏈攻擊的活動，不論是下手面向與影響範圍都很不同，提供更新服務的企業也該有所防範，避免駭客透過本身的管道去影響自己的用戶 

當更新下載伺服器的安全成為焦點，不論更新檔案、相關主機、金鑰的安全防護，甚至整體的流程管理，都必須要能落實安全檢查，否則都將成為駭客可利用的環節

近期的駭客攻擊暴露了軟體更新機制的風險，而這樣的威脅同樣存在於具備集中管理特性的軟體系統，例如企業級防毒軟體、資產管理與GCB

華碩電腦的軟體更新伺服器遭供應鏈攻擊，估計受駭時間將近半年，超過百萬台電腦受影響

今年1月，卡巴斯基即發現華碩的更新伺服器遭攻破，使駭客偷偷藉由更新機制散布後門，而這起事件在昨晚曝光，至今日中午，華碩尚無回應，而這起事件也突顯供應鏈的資安問題。