不論企業是否推動數位轉型,IT技術應用早已無所不在,企業可能是相關產品或服務的直接或間接用戶、供應商、開發商、合作往來的業者,而在同時,惡意軟體與駭客攻擊也如影隨形,不斷針對各個環節進行滲透、窺伺、破壞,而這樣的議題不僅牽涉到供應鏈安全,當然也是產品安全。

而在我們2019、2020、2021的年度資安趨勢預測當中,也都將供應鏈安全納入重大關注重點。以2020年為例,原本我們以為不會有太重大的這類型資安事件,不料,年底爆發震撼全球的SolarWinds事件,最初之所以發現,竟是從資安廠商FireEye主動揭露遭駭、紅隊測試工具外流,之後,美國政府的重要部會機關,以及多家IT大廠也都傳出他們遭到這類攻擊的滲透。

此次供應鏈攻擊事件的受害規模有多大?12月14日,資安新聞網站Krebs on Security引述SolarWinds先前在該公司網站公開的採用企業與組織名單,進行推估分析,當中提到他們有30萬個以上的客戶,其中美國財星5百大企業就有425家採用。同日,美國證券交易委員會(U.S. Securities and Exchange Commission)也在電子資料收集、分析及檢索系統(EDGAR)的公司文件區發布相關報告,當中提到採用Orion產品的用戶估計是3.3萬個,而SolarWinds向他們表示,可能安裝包含這項漏洞的產品用戶,少於1.8萬個。

12月15日,新聞網站Business Insider列出13個政府機構,29家公司,其中包含微軟、思科、Yahoo!等IT公司;到了12月20日,FireEye執行長Kevin Mandia接受CBS新聞臺Face the Nation節目專訪時透露,可能有50個組織或公司受害;同日,彭博社發出一篇報導,引述資安業者Recorded Future的統計,有198個受害單位因SolarWinds後門而被駭,但這篇報導也提到可能不僅止於此,至少是200個。到了12月21日,華爾街日報又揭露一批受害公司清單,當中包含上述提及的思科,以及運算晶片廠商英特爾、Nvidia、虛擬化軟體廠商VMware、家用網路社廠商Belkin、國際會計師事務所Deloitte。

而2021年1月初,臺灣也有供應鏈相關的重大資安事件遭到揭露,那就是我們在本期週刊報導的台灣大哥大自有品牌Amazing A32手機一案

就事件首度曝光的時間點而言,最初是在2020年7月,警調單位接獲遊戲點數詐騙案件的通報,之後收集多達四十多起案件之後,發現共通點竟是同一廠牌的手機,經過數位鑑識確認這些設備遭到木馬程式的植入,接著通報到國家通訊傳播委員會(NCC),10月開始有新聞媒體報導此事,但並未揭露所屬廠牌,僅知道是中國白牌手機。

直到今年1月6日,NCC發布新聞稿、電信公司台灣大哥大發表聲明稿,這整件事才正式浮上檯面,也因為此案不單是品牌廠商與合作廠商的資安問題,還有導致用戶成為詐領遊戲點數人頭帳戶而遭警方調查的狀況,而使得該公司於6天之後再發出聲明稿,表示將提供必要的法律援助,而NCC也在隔天發表新聞稿,要求業者召回手機,妥善處理消費爭議。關於這件事目前已知的來龍去脈,以及消費者所蒙受的不便與委屈,我們的資安主編羅正漢也撰寫了新聞,希望透過這樣的報導,讓社會大眾更了解這件事的現況、發生原因、後續對於業者與用戶的衝擊,以及喚起各界對於產品安全的重視。

關於產品安全近期也有一些好消息。例如,資安廠商Fortinet於1月13日發布公告,宣布他們通過經濟部工業局、投審會的驗證,確認為合法銷售非陸資且非陸製的產品,這兩個單位分別在2020年8月底與9月中回覆他們認定的狀況;網路設備廠商友訊科技(D-Link)恰巧也在同日宣布,已於2020年通過IEC 62443-4-1產品安全開發認證,而其背後協助導入與建立制度的廠商,正是臺灣資安新創公司安華聯網科技,經過5年的努力完成這項產品安全強化的機制。

專欄作者

熱門新聞

Advertisement