駭客藉由分析攻擊目標單位所使用的軟體,找出這些軟體產品的供應商中資安防護較差的,進行供應鏈攻擊。
2020年12月13日爆發的太陽風(SolarWinds)駭客攻擊事件,對美國政府機構造成有史以來範圍最廣、程度最深的傷害,受害單位包括財政部、能源部、國土安全部、司法部、國家安全局等。假如此次攻擊真是俄國國外情報局所為,則不幸中的大幸,是從目前存在的證據來看,它似乎沒有對當年的美國總統大選產生足以動搖結果的影響。太陽風攻擊事件充分曝顯了供應鏈攻擊(supply chain attack)的嚴重性:駭客先分析攻擊目標單位所使用的軟體,找出這些軟體產品的供應商中資安防護較差的,入侵他們的軟體更新遞送設施,將惡意程式植入其最新軟體版本,再藉由軟體更新機制送入攻擊目標單位。
其實,台灣也不乏供應鏈攻擊的本土案例。2018年6月到11月間,華碩的軟體更新伺服器遭駭客利用將藏有惡意程式且有華碩數位簽章的新版軟體散布到至少數以萬計的華碩筆電上。2021年1月7日,刑事局表示,約9.4萬支台灣大哥大自有品牌Amazing A32手機在出廠前被駭客於韌體記憶區植入惡意程式,所以即使重啟或重置手機也無法移除此惡意程式。經此事件後,台灣大哥大清查所有Amazing牌手機機種,發現只有Amazing A32是委託大陸廠商代工,其他非陸廠代工的機種都沒有類似的資安問題。
四大軟體供應鏈攻擊模式
圖1 積體電路製造的供應鏈,以及四個供應商軟體為什麼會導致產品安全問題的可能原因
仔細分析過往軟體供應鏈攻擊的案例,可以歸納以下四類攻擊模式,如圖1所示。第一類,軟體供應商本身就是攻擊者。譬如說,花一億美金買下一家擁有成千上萬企業客戶的軟體公司,以利用它的軟體產品作為運送惡意程式的特洛伊木馬,這與辛辛苦苦開發網絡攻擊然後試圖逐一侵入個別企業相比,似乎是相對便宜可行的攻擊方式。第二類,軟體供應商被攻擊者所駭,其軟體產品因而遭埋入惡意程式,太陽風攻擊屬於此類。第三類,軟體供應商的產品使用含惡意程式的第三方軟體如開源軟體。第四類,軟體供應商的產品使用含易遭駭的程式漏洞的第三方軟體如開源軟體。因為當代軟體產品使用大量開源軟體套件,而開源軟體的版本管理機制相對鬆散,所以駭客有較多機會將惡意程式或程式漏洞植入常用的開源軟體套件。
美國國務院於2020年4月所倡議的「乾淨網路計畫」 (Clean Network program)要求參加的電信營運商不要使用含中國軟體的電信設備(如華為),這種堅壁清野、先發制人的措施意在預防第一類供應鏈攻擊。
若要抵禦第三及第四類供應鏈攻擊,需每個生產內含軟體的設備的開發廠商為其設備上的軟體建立軟體元件清單(SBOM or Software Bill of Materials),此清單應明列所有使用的開源軟體套件,和每個套件的已知漏洞、主力開發者及其所屬公司組織。因為台灣許多電子機械網通設備公司將來都需為其產品建立SBOM,由公部門建立一個能符合溯源要求、持續追蹤更新的開源軟體資料庫讓廠商共享,可以大幅降低國內產業製作SBOM的成本。除此之外,要更有效處理這兩類供應鏈攻擊另需可以掃描開源軟體原始碼,進而指認出其中可能惡意軟體或漏洞所在的程式分析工具,可惜目前這樣的工具尚未完全成熟且需要進一步研發。
至於第二類供應鏈攻擊,供應鏈中的主導公司開始要求其供應商建立基本的資安規範,並將其列入例行稽核項目之中,以確保每個產業生態圈成員都建置適當的資安自衛力量。在台灣,為提升其整體供應鏈資安防護強度,台積電不僅加強公司內部資安防護機制及管理制度,並主動訂定「供應商資安評鑑標準」,於2021年先要求供應廠商以問卷形式檢視12類潛在資安風險與弱點,執行自我資安評鑑;到2022年2月更進一步要求供應商作第三方資安評鑑。根據這兩類評鑑結果,台積電協助供應商擬定資安改善計畫並定期追蹤其執行成效。截至2022年11月底,在639家供應商中有418家獲得最優級,而277家於六個月內提升了一到二個資安等級。
由於台積電在短短幾年內於供應鏈安全達成如此令人印象深刻的結果,國際半導體產業協會(SEMI)遂參考台積電的「供應商資安評鑑標準」及台灣半導體各大廠資安部門的專家經驗,訂定出「資安風險評估通用問卷」,再搭配第三方資安風險評分工具,而形成為半導體廠商量身打造的資安風險評級服務(SEMI Semiconductor Cyber Security Risk Rating Service),並於2022年12月5日宣布正式上線。
台灣製造業的資安防護力
根據工業局統計,台灣製造業者中只有約0.2%每年資安設備預算超過台幣300萬且擁有完整自主資安團隊,約5%製造業者年資安設備預算超過台幣300萬但不具有完整資安團隊,其餘95%製造業者則是資安設備預算與人才配置皆偏低。其中,電子資訊業和金屬機電業公司2020年平均年資安設備預算都低於台幣100萬,但相同統計數據在金融業與醫療業則分別達台幣2,200萬和800萬。
據進一步了解,絕大部分製造業公司的領導階層在觀念上對資安的重要性都已相當認同,但在作實際資安建設投資決定時則每每眼高手低、言勝於行。此中最根本的原因是資安建置案的投資回報(Return on Investment,ROI)往往無法具體量化;亦即,每當資訊部門提出強化資安的方案,公司老闆總會問:此次提案採購的資安設備究竟可增加多少資安防護力?從公司治理的角度,這樣的提問完全合理,然而實務上,因為現有資安技術根本無法回答這樣的問題,提案部門乃至配合的資安產品供應商幾乎都無法提出讓老闆滿意的答案。最後,由於投資回報不明確,這樣的提案在公司施政排序自然後移,終致不了了之。
從以上分析可知,欲增加企業資安建設的投資,必以強化資安建設與公司總體經營目標的聯結為先。舉例而言,2018年公告的《資通安全管理法》將全國公私立機關分成A、B、C、D、E五個資通安全責任等級。因為公私立醫學中心、銀行和金融服務公司都屬A級關鍵基礎設施,資安防護要求最嚴格。由於符合資安法規定乃經營的重點目標,這些單位的資安建設投資在近年來皆大幅成長。
然而,製造業並不在《資通安全管理法》規範的範圍,所以沒有大力投入資安建設的誘因。所幸, 2020年以來的中美貿易大戰所掀起的供應鏈安全議題,為台灣製造業的資安化提供一道解套的曙光。為防範供應商因受駭而在其交付產品被埋入惡意程式,大型產業供應鏈的領頭羊如波音、通用汽車、台積電等除了加強自身資安設施,也開始要求其供應商遵循必要的資安規範並將此列入例行稽核項目之中,以確保每個生態圈成員都建置有適當的自我資安防衛能力。
雖然台積電在評量供應商資安防衛能力時,並沒有強迫供應商必須要達到特定的資安評鑑水準,但的確開誠布公向廠商表達資安評鑑分數將成為選擇供應商時重要的考量因素。易言之,強化內部資安不再只為保護智慧財產或維持公司資訊系統的正常運作,而一躍成為加強整體產品競爭力策略的一環。對台積電供應商的老闆而言,為達到一定資安評鑑水準所需的資安建設,乃贏得台積電青睞必作之事,其投資回報不但明確,甚至頗具急迫性,所以落實的機率遂大為提高。
半導體製造業在自動化和智慧化的程度遠遠超過其他製造產業,而台積電乃半導體製造業中領袖群倫的翹楚。如今,台積電成功地示範了一套可有效提升其供應鏈成員實質資安韌性的評鑑與改善機制,而SEMI也見賢思齊將相關資安稽核項目及方案整理成標準作業程序。政府應將SEMI的資安風險評級服務介紹推廣至國內各大製造公協會,以作為加強其相關產業供應鏈安全的參考。經由類此供應鏈上下游資安聯防的驅動與鞭策,台灣製造業者不但能藉此契機將自身資安防護能力脫胎換骨,更能進而一舉提升產品的整體競爭力。