資訊安全長花費無數時間思考防禦策略:強化網路、鞏固端點、保護應用程式的安全,以及在持續不斷的攻擊浪潮中確保雲端環境的安全無虞。作為一個產業,我們共同投入數十億資金,以因應從傳統惡意軟體到由生成式 AI (GenAI) 所強化的一連串複雜攻勢。
但即使是最完善的防禦策略也存在一個盲點 — 這個盲點日益危險,因為其不完全在我們掌控之中 — 那就是我們的第三方生態系統,以及由供應商、分銷商、經銷商、服務供應商甚至是客戶所組成,而且仍在不斷擴增的網路。它們共同構成全球商業的循環系統。而每個節點都可能成為威脅行動者的進入點,因為他們深知一個基本且令人不安的真相:無論我們內部防禦多麼先進,我們的安全都取決於供應鏈中最薄弱的環節。
如果您覺得「我們已經相當安全」,建議您再次確認。確實,許多企業都會將第三方風險納入其稽核檢查清單中。他們也會使用合規性報告作為廠商安全狀況的標準。但請先讓我們釐清一下:這不是安全措施,而只是定期的文書作業。
早在約十年前,我們就在另一個情境中被警告過不能存有這種自滿心態,也就是對虛擬化環境的錯誤安全感。當時,只要架構中的每個元件不是同樣先進,整個系統本質上就是脆弱的。相同的原則也適用這種情況:對第三方風險採取靜態、過時的方法既不夠充分,也相當危險。除非我們將供應鏈安全性視為一項急迫的任務,否則整個企業都將面臨風險。
我們的需求:即時警覺性與數據
我們不能將供應鏈中的網路安全性只當作一項定期作業。安全性的監控、管理與維護必須是一項持續進行、全天候運作的工作紀律。靜態的稽核與年度合規性審查或許能滿足監管機構的要求,但對於阻止零時差入侵或快速擴散的供應鏈攻擊來說卻作用不大。只要系統中存在一個非新世代的元件,就可能造成不安全的結果,最後甚至無法運作。這種持續性方法的重要性,在 2025 年 Unit 42 事件回應報告的調查結果中得到明確的印證。報告指出,在 75% 的事件中,相關日誌其實早已存在關鍵的初始入侵證據。然而,由於系統複雜且缺乏整合,導致這些資訊無法立即取得或有效運用,讓攻擊者得以利用這些漏洞而不被發現。這凸顯一個關鍵的落差:線索往往早已存在,但傳統、週期性的方式卻無法及時將其揭露。
我們之前已見過這種情況,未來很多年也還會繼續發生。儘管從這些攻擊中吸取慘痛的教訓,許多企業卻仍將第三方風險視為採購清單上的一個項目 — 年度廠商問卷,而非一個持續變動的威脅範圍。
這是一個危險的誤解。供應鏈風險不會等到稽核季才出現。它們會即時進化 — 我們的防禦也必須如此。
我們可以 (及應該) 如何因應供應鏈風險
資訊安全長必須推動從定期的廠商檢查,轉變為對每一個第三方關係進行持續且即時的風險監控。否則任何失誤都有可能導致營運中斷,並在董事會中引發一些尷尬的對話,同時也會面臨監管機構的嚴格審查,質疑為何已知的弱點未被妥善處理。
事實上,我們早已過度依賴靜態的稽核與合規性檢查清單。這些方式或許能因應過去的風險,但如今的威脅形勢早就以機器般的速度迅速演變。因此,我們必須掌握對於供應鏈弱點的超準確即時見解,並隨情況變更進行更新。
這是一項重大的要求。它需要對工具、人才和時間進行真正的投資。所幸,資訊安全長的手中握有一個強大的平衡工具:AI 和自動化。GenAI、預測模型以及進階機器學習正是為了因應這項挑戰而量身打造的。AI 能夠掃描龐大的數據庫 — 包括過往事件、公開揭露、認證以及行為訊號,進而為生態系統中的每個廠商建立動態的安全設定檔。它可以追蹤狀況的變化、標示新興風險,並產生有意義且可量化的風險評分。
自動化進一步擴大這項優勢。鑒於熟練的網路安全專業人才持續短缺,自動化便成為效用倍增工具 — 能夠持續評估第三方風險,並在出現異常時加速回應。縝密且內容感知的分析能確保在攻擊橫向移動至整個環境之前就能及時加以偵測及制止。
這不僅關乎效率,更是必要之舉。攻擊發生的速度是以分鐘數而非月數所計算的。自動化警示分類可能代表著成功遏制和災難之間的區別。當每一秒都至關重要時,您不會想看到操作人員還在剖析試算表。您需要的是 AI 增強的系統以即時偵測、判斷並部署防禦措施。
總結:在遭到入侵前採取行動
資訊安全長已無法承擔對廠商盲目信任導致的嚴重後果。未來需要更敏銳的做法:對每一家廠商、每個合作夥伴以及供應鏈中的每個環節,達到無與倫比的可視性、即時的評估以及明確的責任歸屬。
第三方風險必須納入由董事會層級主導的網路安全策略中。且不能僅侷限在採購部門或委派給合規性團隊負責。董事會必須了解供應鏈安全如何促進整體企業恢復能力,並確保其能與更廣泛的風險規劃、業務持續性工作以及法規就緒程度緊密整合。恢復能力的建立已迫在眉睫,因為在這個新的威脅環境中,猶豫不決的態度必定會導致營運中斷。
想了解您自身的供應鏈風險嗎?查看我們的供應鏈風險評估。
