供應鏈成新破口，KPMG揭高科技業兩大資安強化策略

高科技產業帶動台灣經濟的重要火車頭，在營收表現屢創佳績的同時，近年也常聽到高科技企業紛紛加強各項資安防護作為，包括：導入零信任架構、強化雲端安全、管理第三方風險等具體作為，但從供應鏈廠商產生的資安事件依然層出不窮，讓人感嘆供應鏈資安防護是否真的防不勝防。事實上，供應鏈資安風險最大的一環，就是攻擊者利用企業對第三方供應商的高度信任（或因仰賴而被迫必須得信任），作為對整個供應鏈的資安攻擊切入點，這也凸顯了供應鏈資安管理的巨大難處。

高科技產業供應鏈的資安風險複雜且龐大，由於獨特的生態特性及產業現況，存在兩項既有風險：

1.供應商資安成熟度不均：由眾多委外廠商共同建構的高科技供應鏈，也因為廠商的規模大小不一，彼此資安成熟度參差不齊，導致資安薄弱的供應商可能成為駭客滲透企業核心的跳板。

2.OT/IT更深度融合：隨著工業 4.0概念的推進，工控環境(OT)與資訊環境(IT)須更高度結合以產生綜效，使得過去相對封閉的 OT 環境暴露於外部威脅之下，產生管理上的風險。

以下提出2個面向的建議，提供給高科技產業精進或提升供應鏈資安治理成熟度之參考：

一、持續且有深度的供應商風險評估

有效的供應商評估必須是一個持續、深度、與時俱進的第三方風險管理 (TPRM) 流程，高科技企業除了要求供應商符合行業特定的資安標準，例如半導體產業的資安標準SEMI E187，還要對供應商進行資安評估，但傳統的供應商評估常是靜態的，供應商風險卻是動態變化的，高科技企業可以考慮導入持續性評估機制，例如：

1.外部信用評級：可評估導入專業的資安風險管理與信用評級服務，透過持續、非侵入性地從全球網路收集關於供應商的公開數據，例如：DNS 設定健康度、SSL/TLS 加密憑證的有效性、是否被列入惡意軟體或殭屍網路的黑名單、以及在暗網上是否有洩漏的員工憑證等，更即時瞭解各供應商動態更新的資安防禦分數

2.風險預測機制：部分資安風險管控平台，可利用機器學習模型來預測風險。這些模型不僅分析公開資訊，更會整合來自全球數百萬端點的威脅情報、特定產業的攻擊趨勢、供應商的財務狀況與人員流動（特別是 IT 人員）等多元數據。模型透過學習歷史資安事件的特徵，找出潛在的風險模式，從而預測哪些供應商在未來一段時間內最可能成為攻擊目標。

3.自動化合規性監控：若有雲端服務供應商，可透過CSPM (雲端安全狀態管理) 工具，實現自動化的雲端合規監控。在獲得供應商授權後，這些工具能持續掃描其雲端環境的設定，並與數百種內建的法規與標準如 GDPR、ISO 27001，乃至半導體業的 SEMI E187進行比對，部分功能還可協助分析供應商的資安政策文件，自動找出與合約要求不符的條款。

二、以零信任概念實踐存取權限最小化

在企業營運中，有關資料保護議題，最小化存取權限是首要原則，近年來，企業開始拋棄傳統的邊界防禦思維，開始從內部導入零信任架構 (Zero Trust Architecture, ZTA)，高科技產業的零信任實踐應聚焦於身分識別與存取管理(IAM)及微分段(Micro-segmentation)2大面向：

1.身份識別與存取管理 (IAM)：對所有供應商和遠端維護人員強制實施多因素驗證 (MFA)，並基於使用者、裝置狀態等因素進行動態存取控制。企業可導入身份管理平台來實現統一的單一簽入 (SSO) 與條件式存取，並利用特權存取管理 (PAM) 工具，嚴格控管供應商對核心系統的維護權限。

2.微分割 (Micro-segmentation)：透過將網路劃分為極小的「安全域」(Security Domains)，有效限制攻擊者一旦入侵後的橫向移動。針對重要的 OT 環境，更應實施嚴格的協定過濾和單向通訊控制，確保供應商僅能存取其維護所需的特定設備，並在每次存取後立即撤銷權限。

高科技產業供應鏈資安治理是一項複雜且持續的工程，企業應該將其視為一段長遠的旅程，從被動防禦轉向主動、預測性的資安思維。透過將零信任架構應用於資料存取控管，實施嚴謹且持續的第三方風險管理，才能在充滿網路威脅的環境中，建立起真正的供應鏈韌性，確保核心競爭力與永續發展。（本文由KPMG安侯企業管理股份有限公司副總經理李冠樟/提供）