摘要

在全球數位經濟高度互聯的時代，供應鏈已成為勒索軟體攻擊的關鍵目標，單一環節的漏洞可能導致廣泛的中斷與高昂的成本。為應對此嚴峻挑戰，反勒索軟體倡議 (CRI) 發布了一份全面的供應鏈安全指南。這份指南並非強制性法規，但強烈呼籲各組織將供應鏈漏洞納入風險評估與採購決策中，透過推廣基礎網路衛生、強化意識與建立持續審查機制，從而顯著提升整個供應鏈的韌性。報告將深入解析CRI提出的四大核心原則，並強調實踐風險導向的安全策略與跨生態系協作的重要性，以構築抵禦不斷演變的勒索軟體威脅的堅固防線。
 

引言：數位經濟下的供應鏈風險與挑戰

當代企業的營運高度依賴複雜且相互連結的全球供應鏈，這種相互依存性使供應鏈成為網路威脅行為者眼中極具吸引力的目標。勒索軟體攻擊的影響已遠超單純的營運中斷，根據2025年IBM的《資料外洩成本報告》估計，全球勒索軟體事件的平均成本高達444萬美元。除了直接的財務損失，駭客集團經常透過在洩密網站上發布竊取資料實施「二次或三重勒索」，造成難以彌補的聲譽損害與潛在的個人資料保護法違規風險。
 

CRI指南的核心目標與範疇

反勒索軟體倡議 (Counter Ransomware Initiative, CRI) 向各組織發布了指南，指導其如何建立供應鏈抵禦勒索軟體威脅的韌性，這份指南旨在透過提高整個供應鏈對勒索軟體威脅的認識、推廣良好的網路衛生習慣以保護供應商和合作夥伴，以及確保將供應鏈漏洞納入組織的風險評估和採購決策中，從而降低勒索軟體事件對組織造成嚴重影響的可能性。 CRI指南的推出，旨在為組織提供一個非約束性的框架，鼓勵其與現有及未來的供應鏈運營商合作，共同實施建議，避免供應鏈暴露於勒索軟體攻擊的風險之中。

勒索軟體對供應鏈的威脅模型分析

供應鏈的複雜性帶來了多重網路安全風險。CRI 指南指出，勒索軟體駭客經常以供應鏈為目標，以擴大其影響力。透過利用供應商或合作夥伴，單一受感染的供應商可以為威脅行為者提供切入點，使其在供應鏈中向上游和下游移動。更廣泛的供應鏈面臨的其他風險可能包括第三方服務（例如託管服務提供者）被入侵，從而被攻擊訪問客戶環境。
除了服務中斷和資料遺失等主要風險外，供應商與組織之間相互連接的系統或信任關係，特別是在組織缺乏足夠防護的系統架構下，可能授予外部人員特權存取權。此外，向缺乏適當控制措施的供應商共享敏感資料，也會使組織面臨重大的漏洞。
數個因素會加劇這些供應鏈風險：

1. 集中度風險 (Concentration Risk)： 過度或不相稱地依賴少數供應商會產生高度集中和依賴性風險，一旦發生勒索軟體事件，影響將被放大。分散供應鏈是必要的緩解措施。
2. 低可視性 (Low Visibility)： 對供應鏈操作缺乏足夠的可視性，組織將無法全面理解和保護其資產與流程。
3. 缺乏驗證 (Lack of Verification)： 在合約建立和執行期間，未能驗證供應商的安全認證或資安保障機制，會使供應鏈因不充分的保證而暴露在風險中。

 

強化供應鏈韌性的四大核心原則

為有效應對勒索軟體風險，CRI 指南提出了四項原則，以幫助組織制定方法來改善其供應鏈安全態勢，以抵禦勒索軟體風險。 這四個原則構成了一個結構化的、風險導向的防禦策略。
原則一：確立供應鏈安全的重要性認知
第一步是了解供應鏈安全的重要性，確保供應鏈安全對於防止中斷、保護敏感資料和維持營運穩定至關重要。 在全球數位化進程中，供應鏈相互依存的特性使內嵌強大的網路安全措施成為必要。特別是透過合約要求，可以減少單個組織及其廣泛網路中的漏洞，同時降低對關鍵基礎設施和其他基本系統的風險。

原則二：辨識關鍵合作夥伴與存取權限的盤點
第二步是確定關鍵的供應鏈合作夥伴並確定其存取等級。應制定所有供應商的清單，以評估其根據每份合約處理的資訊或資產的敏感性和價值。應評估其網路安全成熟度，包括多因素身份驗證、修補程式管理、備份實踐和相關認證等控制措施。 除了這些技術控制措施外，組織還應審查供應商的資料外洩歷史、對分包商的使用情況、事件響應與恢復能力，以及保險覆蓋範圍。透過繪製供應商可以存取或管理的網路和系統，可以提高對數位環境的態勢感知能力，並支援在發生網路事件時更快地遏制和復原。

原則三：制定風險導向的安全策略與實施藍圖
第三步是製定供應鏈安全策略和實施計畫。必須確定供應商為保護資產和資訊所需的保護級別，以及對合約項下提供的產品或服務的安全期望。 實施應採取風險導向方法，根據供應商活動的風險程度選擇其具備的網路安全控制能力。對於涉及高風險職能的供應商，應設定更高的安全預期，而對於低風險領域的供應商，則需維持基礎的網路衛生標準。
分析常見的勒索軟體攻擊途徑顯示，一致應用五項基本控制措施可顯著降低攻擊成功的可能性：

1. 網路分段與保護 (如防火牆)。
2. 安全配置 (如刪除未使用的軟體)。
3. 安全更新管理 (定期修補和更新)。
4. 使用者存取控制 (如多因素身份驗證)。
5. 惡意軟體防護 (如防毒軟體和端點偵測與回應工具)。 此外，定期備份關鍵資料並將其儲存在與生產環境隔離的位置，能進一步強化事件後的恢復能力。

原則四：持續審查、完善與協作機制
最後，CRI 指南強調了持續審查和完善供應鏈安全的重要性。企業應與供應商合作，定期審查事件和未遂事件，以吸取經驗教訓，測試和更新響應計劃，共享威脅情報和最佳實踐，並修改合約和政策以應對新出現的風險。 由於勒索軟體策略快速演變，供應鏈防禦必須不斷調整以跟上步伐，確保網路安全態勢的持續有效性。
 

基礎網路衛生與進階安全標準的實踐

CRI指南明確了基礎網路衛生是防禦勒索軟體的核心。五項基本控制措施被廣泛認為是健全網路安全實踐的基線。對於涉及高風險營運的供應商，其網路安全態勢必須超越基礎衛生，達到與其風險暴露程度一致的進階標準。例如，可以參考新加坡的分層「網路信任框架」(Cyber Trust framework) 或 ISO/IEC 27001 等國際標準，這些標準推動了結構化的、風險導向的供應鏈網路安全方法。
確保供應商已實施適當的安全措施是至關重要的一步。組織可透過以下方式獲得保證：

1. 獨立的第三方稽核。
2. 技術測試。
3. 由國家網路機構等公認權威機構頒發的外部認證。

 

網路保險在風險管理中的定位

網路保險是風險管理的另一個關鍵要素。CRI成員承認保險在強化網路攻擊韌性方面的作用，它鼓勵被保險公司採用更強的防護措施。組織應推動在整個供應鏈中使用網路保險，並了解其供應商的覆蓋範圍，特別是關於這些供應商可以存取的資料和系統。然而，網路保險應被視為一種補充性保障 (complementary safeguard)，而非取代強大的網路安全措施和防禦勒索軟體攻擊所必需的健全網路衛生實踐。
 

建立跨生態系的協作與韌性

面對勒索軟體的生態化攻擊趨勢，沒有任何組織可以完全與供應鏈風險隔絕，但採取積極主動的措施可以顯著降低勒索軟體事件發生的可能性及其影響。建立供應商網路安全論壇或工作小組（無論是內部建立還是與同一行業的其他組織協調建立），可以進一步加強協作、改善溝通並促進統一的供應鏈彈性方法。 透過遵循CRI指南的「了解 (Understand)」、「辨識 (Identify)」、「制定 (Develop)」和「審查 (Review)」這四個步驟，組織及其供應鏈不僅可以在自身營運中，還能在更廣泛的生態系中建立起堅實的網路韌性。這份指南為企業提供了一條清晰的實施路徑，以期在不斷變化的網路威脅環境中，實現長期的營運穩定與資料保護。

資料來源：https://industrialcyber.co/supply-chain-security/new-cri-guidance-calls-on-organizations-to-tighten-cyber-hygiene-risk-assessments-across-supply-chains/