報導摘要

為了應對日益嚴峻的網路安全威脅，美國網路安全和基礎設施安全局（CISA）與多個聯邦合作夥伴，包括美國國防部高級研究計劃局（DARPA）和國家安全局（NSA）等，共同發起了一項全國性計畫，旨在彌補長久以來存在的「軟體理解鴻溝」（Software Understanding Gap）。此計畫的核心目標是建立一套更強大的能力，讓開發者與使用者在部署軟體之前，能更深入地分析和驗證其功能、安全性和完整性。這項行動不僅是為了防範來自國家級駭客組織的惡意活動，更被視為鞏固國家安全與關鍵基礎設施韌性的關鍵一步。此舉標誌著網路安全策略從被動防禦，正式轉向主動預防，期望透過公私部門的緊密合作，從源頭解決軟體供應鏈中潛在的惡意程式碼和漏洞問題，從而在全球地緣政治競爭中獲得戰略優勢。

實際案例

軟體供應鏈攻擊已非理論上的威脅，而是造成實際且巨大破壞的現實。以下是幾個最為人所知的實際案例，它們深刻揭示了「軟體理解鴻溝」所帶來的毀滅性後果：

• SolarWinds事件（2020年）： 這場駭人聽聞的攻擊是軟體供應鏈威脅最典型的案例。駭客組織透過入侵SolarWinds公司的軟體開發系統，在其IT管理工具Orion的合法更新中，植入名為「Sunburst」的惡意程式碼。由於Orion軟體被全球數萬家企業和政府機構（包括美國財政部、國土安全部等）廣泛使用，當這些客戶下載並安裝帶有惡意程式碼的更新時，駭客便能輕易地在這些高價值目標網路中建立後門，進行長期的間諜活動。此事件的關鍵在於，受害者信任了來自合法供應商的軟體，卻無法察覺其內部已被植入惡意程式，這正是「軟體理解鴻溝」的完美寫照。

• Log4j漏洞事件（2021年）： 這是一個被譽為「有史以來最嚴重漏洞」的事件。Log4j是一個廣泛應用於全球無數軟體中的開源程式庫，但其被發現存在一個遠端程式碼執行（RCE）的嚴重漏洞。由於Log4j被嵌套在數以千計的軟體產品中，從雲端服務、企業應用程式到工業控制系統（ICS），駭客能利用這個漏洞，只需一行簡單的指令，便能對目標系統進行入侵。這次事件暴露了現代軟體生態系統的脆弱性，單一開源元件的漏洞，能對全球數位基礎設施造成連鎖性的毀滅。

• NotPetya勒索軟體事件（2017年）： 儘管被歸類為勒索軟體攻擊，NotPetya的實際目標是造成大規模破壞，並透過烏克蘭的會計軟體M.E.Doc進行散布。駭客入侵了M.E.Doc的更新伺服器，並將惡意軟體植入其更新中。由於該軟體在烏克蘭企業界廣泛使用，NotPetya迅速透過網路傳播，癱瘓了全球數十億美元的業務，包括航運巨頭馬士基（Maersk）和快遞公司FedEx等。此事件證明，即使是看似無關緊要的第三方軟體供應商，都可能成為發動大規模供應鏈攻擊的跳板。

技術威脅

軟體供應鏈攻擊的技術威脅源於其隱蔽性與複雜性，駭客利用信任關係而非單純的漏洞。主要的技術威脅途徑包括：

1. 程式碼庫竄改（Code Tampering）： 駭客直接在軟體的原始碼中植入惡意指令。這可能發生在開發者環境、版本控制系統（如Git）或軟體供應商的伺服器上。一旦惡意程式碼被編譯並簽名，它就成為合法軟體的一部分，並能輕易繞過傳統的資安防護。

2. 開源套件劫持（Open-Source Package Hijacking）： 許多現代軟體依賴於大量的開源程式碼庫。駭客會創建與知名程式庫名稱相似的惡意套件（typosquatting），或入侵開源專案維護者的帳號，將惡意程式碼植入熱門套件中。由於開源社群的高度信任機制，用戶可能在不知情的情況下，將惡意程式下載到其開發或生產環境。

3. 基礎設施滲透（Infrastructure Compromise）： 駭客滲透軟體供應商的建置（build）或更新伺服器。一旦伺服器被控制，駭客便能將惡意酬載植入正常的軟體更新檔中。這種攻擊特別危險，因為更新機制通常被防火牆和其他安全工具視為可信賴的流量，極難被偵測。

發展趨勢

面對軟體供應鏈攻擊的挑戰，未來的發展趨勢將主要集中在透明化、自動化與更深度的信任機制上。

1. SBOM（軟體物料清單）的普及： 軟體物料清單（Software Bill of Materials, SBOM）將成為軟體供應鏈安全的核心。SBOM就像軟體的成分列表，詳細列出一個軟體所包含的所有開源與商用元件。美國政府已強制要求向聯邦機構銷售的軟體產品必須提供SBOM，這將推動產業廣泛採用此標準。SBOM的普及能大幅提升供應鏈的透明度，讓使用者能及時發現並應對已知漏洞。

2. IT與OT整合： 隨著工業控制系統（OT）與企業資訊技術（IT）網路的整合程度加深，針對關鍵基礎設施的攻擊面也隨之擴大。未來的資安防護將不再是IT與OT各自為政，而是需要建立一個統一的、協同的資安管理框架，以應對來自IT層的威脅滲透到OT層的風險。

3. AI與機器學習的應用： 人工智慧（AI）和機器學習（ML）將在軟體供應鏈安全中扮演更重要的角色。它們能被用於分析龐大的程式碼庫、偵測惡意模式、預測漏洞，並自動化部分修補流程，從而彌補人類分析師的不足，特別是在處理海量開源元件時。

應對措施

面對複雜的軟體供應鏈威脅，僅僅依賴傳統的資安工具已遠遠不夠。企業必須採取多管齊下的應對措施：

1. 建立強健的第三方風險管理計畫： 企業應對其所有軟體供應商進行嚴格的審查，不僅要評估其產品，更要審視其內部開發流程與資安政策。要求供應商提供SBOM，並定期進行資安稽核。

2. 實施多層次防禦策略： 資安防禦不應只依賴單一防線。企業應在網路層、主機層和應用程式層實施多層次的防禦措施，包括防火牆、入侵偵測系統（IDS）、端點安全防護（EDR）和應用程式安全測試等。

3. 強化漏洞與修補管理： 建立一個系統化的漏洞管理流程，定期掃描網路中的所有軟體與設備，並根據威脅情報與風險等級，為高風險漏洞設定嚴格的修補時間表。

4. 建立資安意識文化： 員工是資安防護的重要一環。企業應定期對員工進行資安培訓，教育他們如何識別網路釣魚、如何避免點擊惡意連結，以及了解軟體供應鏈攻擊的危害性。

解決方案

為從根本上解決「軟體理解鴻溝」，未來的解決方案將圍繞以下幾個核心概念：

1. 軟體物料清單（SBOM）： SBOM的強制性採用和標準化將成為最關鍵的解決方案。它為軟體的透明度提供了前所未有的基礎，允許使用者能追溯其軟體中所有元件的來源，並在新的漏洞（如Log4j）被公開時，迅速識別出受影響的資產。

2. 供應鏈風險管理工具： 新一代的資安工具將專注於供應鏈風險。這些工具能自動分析軟體的建置過程、程式碼簽名的完整性，並在軟體進入生產環境前，偵測其中的異常行為或惡意植入。

3. 公私部門合作平台： CISA與聯邦夥伴發起的這項計畫正是此類解決方案的體現。透過建立公共與私有部門之間的資訊共享平台，政府機構、資安公司與軟體開發者可以即時共享威脅情報、漏洞資訊與最佳實踐，從而形成一個共同抵禦威脅的生態系統。

4. 行為分析與零信任架構： 透過部署能監控軟體行為的系統，即使惡意程式碼成功繞過傳統防禦進入系統，其異常行為（例如嘗試連接可疑IP或竊取敏感資料）也能被即時偵測。同時，採用零信任架構（Zero Trust Architecture），確保網路中的所有連線都經過嚴格驗證，無論其來自內部或外部，從而降低供應鏈攻擊的橫向移動能力。

• https://industrialcyber.co/cisa/cisa-federal-partners-launch-nationwide-initiative-to-close-software-understanding-gap-protect-critical-infrastructure/
• https://www.cisa.gov/sbom