國家支持的網路攻擊集中於供應鏈

在經濟全球化的趨勢下，供應鏈需加強重視網路安全。由國家支持的不當行為很有可能會造成重大破壞和資料外洩。電子供應鏈 (尤其是半導體供應鏈) 的相關人員必須機警地處理這些威脅。

網路犯罪不斷增加

更多商業交易朝向虛擬化發展，網路攻擊也跟著不斷增加。Resilinc 的 EventWatch 監控和追蹤供應鏈網路攻擊，在 2024 年的前 11 月共發現 738 起攻擊事件。與 2023 年上半年相比，2024 年上半年的攻擊次數增加 21%。從 2019 年初到 2024 年初這五年，網路攻擊警報增加了 1,375%。^[1]攻擊次數的增加可歸因於 IT 人才短缺造成的缺口，以及線上活動的增加。

網路攻擊有一部分是由政府發動或支持，藉以增進其政治、經濟或軍事利益。被攻擊的對象通常是他國政府、關鍵基礎設施、大型企業或關鍵產業。Crowdstrike 的資料顯示，科技產業是前十大產業中最常見的目標，而北美是至今最受常受到攻擊的地理目標 (圖 1)。

圖 1：在前十大產業中，科技產業是受到最頻繁攻擊的特定產業，而北美是最常受到攻擊的地理目標 (圖片來源：Crowdstrike)

國家行為者包括代表政府或國家或在政府或國家支持下行動的個人或團體，他們加入戰局並不是為了財務利益。這些攻擊者意圖收集敏感資訊、破壞關鍵基礎設施或影響公眾輿論。在全球供應鏈中，即是針對生產和經銷商品的組織，進行惡意行為。幾乎每個國家都有可能參與國家支持的網路安全攻擊。

軟體和硬體

國家行為者對科技產業供應鏈進行的攻擊方式有兩種。第一種是利用上游第三方供應商和服務供應商，當使用者在各種潛在目標上安裝軟體時滲透系統 (圖 2)。另外，軟體開發人員常會採用開源程式碼提高效率及創新，並快速進入市場。第二種即是滲透這些共享資源，藉此找到機會進行大規模破壞。

圖 2：威脅行為者從上游滲透第三方軟體應用程式，增加攻擊媒介 (圖片來源：Darktrace)

越來越多國家行為者採用這些方法。Gartner 表示，軟體供應鏈攻擊 (包括專有和商業程式碼) 對組織構成重大的安全、監管、營運風險。³該研究公司預估，從 2023 年到 2031 年，這些攻擊造成的相關成本，將從 460 億美元增加至 1,380 億美元。

國家威脅行為者的另一個攻擊媒介是硬體。惡意行為者藉由篡改裝置的硬體和韌體，攻擊最終客戶的資料，而供應鏈是可能引入惡意軟體的薄弱環節之一。HP 近期的一項研究指出，幾乎五分之一 (19%) 的組織在個人電腦、筆記型電腦或印表機供應鏈曾受到國家行為者的威脅影響。⁴在美國，此數據高出許多，達到 29%。

該怎麼辦？

顯然，保障供應鏈的網路安全應該是 OEM 的首要任務。攻擊不斷增加複雜性和精密性，業界必須共同努力應對。個別 OEM 需要使用各種工具，包括加密資料、實施強大的存取控制、定期軟體更新、員工培訓、持續監控，以減輕不斷升高的威脅等級。

在產業層面，SEMI 網路安全聯盟已於今年年初成立。目標為開發和推廣標準、跨產業的方式，以提高網路安全並加速實施可行的解決方案。此聯盟承諾將在明年聚焦於三項關鍵行動：⁵

• 為網路安全開發一個強大的框架，從最近轉換的經驗中學習，並迎接開放的合作。
• 為半導體產業建立特定框架，評估整體供應鏈的網路安全強度，並採取措施，讓生態系統網路具備更佳防護。
• 結合汽車和醫療等產業的最佳實務，將安全協定現代化，並透過 SEMI 促進共享協作資訊。

國家威脅不斷增加，電子供應鏈的攻擊媒介也更加多樣。網路攻擊者於此同時也越來越熟練。良好的網路安全實務及加強產業合作，將有助於減輕其造成的影響。

參考資料

1：https://www.resilinc.com/learning-center/white-papers-reports/resilinc-special-report-supply-chain-strategies-for-addressing-global-cybersecurity-threats/

2：https://go.crowdstrike.com/global-threat-report-2024.html

3：https://www.gartner.com/en/documents/5524495

4：https://www.hp.com/us-en/newsroom/press-releases/2024/hp-wolf-security-study-supply-chains.html

5：https://www.semi.org/en/blogs/technology-and-trends/new-semi-cybersecurity-consortium-sets-out-to-strengthen-semiconductor-manufacturing-supply-chain-network-protections