關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 組織治理
顯示分類
2025.11.26
標準與框架/組織治理
供應鏈擴張正在重塑安全優先事項
供應鏈擴張與網路安全的新戰場

在高度數位化和雲端化的商業環境中,企業的運營越來越依賴於錯綜複雜的第三方供應商生態系統。從軟體服務到關鍵基礎設施支援,每一個外部工具或服務的採用,都為組織帶來了便利和效率,但也同時擴大了潛在的網路安全攻擊面。對於許多網路安全專業人員來說,供應商關係已不再是單純的業務往來,而是組織自身防禦體系中無法輕易察覺或控制的重大漏洞。ISC2的最新報告深入探討了這一日益嚴重的現象,將供應鏈風險明確列為當今網路安全領域最受關注的核心問題之一。

 

供應鏈風險的數據化擔憂與核心挑戰

ISC2針對全球超過1,000位網路安全專家的調查結果,以具體數據量化了當前企業面臨的第三方風險壓力。高達七成的受訪者表示,他們的組織對第三方供應商所帶來的網路安全風險深感憂慮。尤其在處理敏感金融或政府數據的企業和部門(如金融服務和軍事承包商),擔憂比例甚至超過八成。

這種擔憂並非空穴來風,而是基於實際發生的安全事件。在過去兩年內,將近三分之一的受訪者報告其組織曾遭受過與供應商相關的安全事件,大型企業和金融服務業的受害率更高。這些事件,無論影響是否直接,都促使企業質疑業務連續性、供應商的溝通效率以及其安全聲明的真實性。報告強調,攻擊者正有針對性地利用供應商網路中相對較弱的控制措施,以繞過客戶環境中更強大的防禦機制。數據洩露被認為是最具破壞性的供應鏈威脅(佔64%),其次是惡意軟體、勒索軟體以及供應商軟體中的漏洞。

企業依賴龐大的供應商鏈,但許多網路安全專家表示,這些關係會造成他們無法察覺或控制的漏洞。 ISC2一項針對1,000多位網路安全專家的最新調查顯示,供應鏈風險是他們最為關注的問題之一。 70%的受訪者表示,他們的組織對第三方供應商帶來的網路安全風險感到擔憂。隨著企業採用新的工具和服務,供應商生態系統不斷擴展。每一次整合都會增加潛在的風險敞口,許多安全團隊難以理解這些網路的深層結構。

 

透明度鴻溝:分包商的可見性危機

受訪者指出,缺乏透明度是供應鏈安全管理中最大的挑戰。安全團隊通常不知道哪些分包商為他們的供應商提供支持,也不知道這些分包商採取了哪些控制措施。這種「四級供應商」的可見性缺失,使得風險評估難以深入到供應鏈的底層結構。

一些受訪者表示,由於供應商對其營運流程的揭露有限,他們只能依靠信任而無法進行核實。有些供應商僅在客戶入駐階段提供資訊,如果這些資訊沒有及時更新,客戶可能會依賴過時的假設,從而錯過風險狀況的變化。 企業難以全面了解供應商及其分包商所帶來的風險。許多企業會進行風險評估和供應商審查,以初步了解供應商的安全措施。各組織對供應商安全措施的審查週期各不相同,但許多組織的審查頻率不足。有些組織僅在新供應商入職時進行審查,這可能導致長達數年的審查空白。在這種情況下,客戶可能依賴過時的信息,從而錯過供應商安全態勢的變化。

依賴過時資訊的風險極高,因為供應商的安全態勢會隨著時間、人員變動和系統升級而改變。當組織僅在初期入駐或數年後才進行審查時,便無法及時捕捉供應商風險狀況的變化,這為攻擊者提供了長期潛伏的機會。

 

採購階段的控制要求與持續監督的落差

為了應對這些風險,採購團隊在供應商關係建立之初便會設定明確的安全控制要求。符合國際標準和框架是首要條件。

採購團隊也會制定控制要求。符合ISO 27001、SOC 2 和 NIST 等標準是首要要求。其次是安全審計和認證。許多組織要求採用多因素身份驗證(MFA)、安全存取控制措施和事件報告流程。

這些標準和措施,包括多因素身份驗證(MFA)和安全存取控制,代表了現代網路安全的基礎防線。然而,儘管在關係建立之初設定控制措施至關重要,但這絕不能取代持續的監督

現實情況是,各組織在處理這項工作的方式上差異很大。有些組織擁有指導評估和決策的正式計畫,而另一些則僅依賴合約條款,或在風險浮現時才臨時處理。這種管理成熟度的不平衡,導致供應鏈風險管理在不同行業間存在嚴重的不平衡現象。此外,報告指出,儘管大多數供應商組織表示他們有遵循既定標準和監管期望的事件應變計畫,但仍有部分供應商缺乏文件化的流程,甚至員工不確定流程是否存在,這為客戶在事件發生時依賴及時更新帶來了不確定性。

 

建立持續監督與信任核實的供應鏈韌性

ISC2的報告發出了一個強烈的信號:供應鏈的廣度正在重新定義企業的網路安全優先級。當前最大的漏洞,不在於缺乏安全技術,而在於供應鏈深層結構中的可見性缺乏監督不持續性

要建立具備韌性的第三方風險管理計畫,企業必須採納「信任但不核實」的過時心態,轉向「持續核實」(Continuous Verification)的現代零信任模型。這需要採取以下戰略行動:

  1. 擴大審查範圍: 將風險評估週期從僅限入駐階段,轉變為涵蓋供應商生命週期各階段的定期、甚至自動化審查。

  2. 強制透明度: 在合約中要求供應商對其關鍵分包商及其採用的安全控制措施提供必要的透明度。

  3. 提升控制標準: 嚴格要求MFA、完善的安全存取控制和清晰的事件報告流程,並確保這些標準得到持續維持。

  4. 提升治理成熟度: 將供應鏈風險管理從分散的合約要求轉變為正式的、跨部門的安全計畫,以確保在整個供應鏈中實現統一且高水平的風險管理成熟度。

只有當組織能夠全面且持續地了解其供應商生態系統中的深層風險,並將持續監督視為核心要求,才能有效彌補這些安全缺口,保障數位化未來的運營連續性和資訊安全。


資料來源:https://www.helpnetsecurity.com/2025/11/25/isc2-vendor-security-gaps-report/
 
根據ISC2的最新調查,本報告深入分析網路安全專家對第三方供應鏈風險的擔憂,特別是缺乏透明度和對分包商缺乏可見性的問題。探討現行供應商風險評估的不足,並提出從採購階段到持續監督,建立強健安全控制措施的戰略建議,以彌補跨行業中供應鏈風險管理存在的嚴重不平衡。