(04) 2375-8388 台中在地服務
企業 IT 整合 · 資安 · 維運 原廠技術合作夥伴
資安網路

供應鏈攻擊防禦指南:SBOM、第三方風險管理與軟體供應鏈安全

SolarWinds、XZ Utils、3CX 等事件剖析,台中企業如何建立 SBOM 清單、評估第三方風險、強化軟體供應鏈安全。

資安網路 · 2026 年 2 月 · 凱茂資訊技術團隊 · 閱讀時間 8 分鐘
分享: LINE 分享
快速回答:供應鏈攻擊是透過攻擊企業的上游供應商(軟體、服務、硬體)來入侵目標企業。典型案例:SolarWinds(2020)、Kaseya(2021)。防禦重點:建立 SBOM(軟體物料清單)追蹤第三方元件、落實供應商資安評估、網路分段隔離第三方存取、部署 EDR 偵測異常行為。

前言:為什麼供應鏈攻擊如此危險?

2020 年 SolarWinds 攻擊事件中,駭客在 Orion 軟體更新包中植入後門,影響超過 18,000 個組織(包含美國政府機構)。2023 年 3CX 事件、2024 年 XZ Utils 後門事件持續顯示:攻擊者越來越傾向「攻擊供應商,再透過受信任的更新機制感染最終目標」。

對台灣企業而言,自身的網路安全可能已做得不錯,但只要使用了被植入後門的軟體或硬體,仍難逃攻擊。這就是為什麼「供應鏈安全」已成為 CISO 最優先的課題之一。

近年重大供應鏈攻擊事件
近年重大供應鏈攻擊事件

一、近年重大供應鏈攻擊事件

事件年份攻擊手法影響範圍
SolarWinds Orion2020更新包植入後門 SUNBURST18,000+ 組織含美國政府
Kaseya VSA2021遠端管理軟體 0-day + 勒索1,500+ 企業
Log4Shell2021廣泛使用的 Java 元件 RCE全球數十萬系統
3CX Desktop App2023供應商開發環境遭入侵全球數十萬企業用戶
XZ Utils2024社會工程滲透開源貢獻者潛在影響 Linux 系統

二、SBOM:軟體物料清單

什麼是 SBOM?

SBOM(Software Bill of Materials,軟體物料清單)是描述軟體中所有元件、函式庫、版本號與授權條款的清單,類似食品的「成分標示」。美國白宮行政命令(EO 14028, 2021)已要求聯邦政府供應商提供 SBOM,歐盟 CRA(Cyber Resilience Act)已於 2024 年 12 月生效,其 SBOM 要求自 2027 年 12 月 11 日起正式適用(漏洞與事件通報義務則自 2026 年 9 月 11 日起)。

SBOM 格式標準

格式主導組織特色
SPDXLinux FoundationISO/IEC 5962 國際標準,最廣泛
CycloneDXOWASP資安導向,支援 VEX(漏洞狀態說明)
SWIDISO/IEC 19770-2政府/採購場景常見

企業如何建立 SBOM?

  • 掃描工具:Syft、FOSSA、Black Duck、Anchore
  • CI/CD 整合:在 Pipeline 中自動生成並存檔每次 Build 的 SBOM
  • 漏洞對比:將 SBOM 與 NVD(國家漏洞資料庫)比對,識別已知漏洞元件
第三方風險管理(TPRM)
第三方風險管理(TPRM)

三、第三方風險管理(TPRM)

對出口導向的製造業而言,第三方風險管理早已不只是資安議題,更是接單門檻——歐洲車廠供應鏈要求 TISAX、美國國防供應鏈要求 CMMC。延伸閱讀:TISAX 與 CMMC 供應鏈合規攻略

評估供應商的五個維度

評估維度評估內容工具/方法
資安認證ISO 27001、SOC 2 Type II、CSA STAR要求提供有效憑證
漏洞管理修補時效、CVE 回應紀錄SecurityScorecard、BitSight
存取控制MFA、最小權限、特權帳號管理問卷調查 + 合約條款
事件歷史過去 3 年資安事件紀錄公開資料庫 + 合約要求揭露
業務連續性BCP/DR 計畫完整性文件審查 + 演練紀錄

TPRM 分級管理

  • 關鍵供應商(存取核心系統/資料):每年稽核 + 合約明定安全要求 + 定期滲透測試
  • 重要供應商(存取部分系統):每年問卷 + 認證要求
  • 一般供應商:標準採購條款即可

四、軟體供應鏈防禦實務

1. 版本控制與更新管理

  • 禁止自動更新生產環境的第三方軟體
  • 建立內部軟體倉庫(Artifactory、Nexus),所有依賴從內部倉庫拉取
  • 更新前在隔離環境測試,並驗證數位簽章

2. 開源元件安全

  • 建立允許清單(Approved Component List)
  • 使用 Dependabot / Renovate 自動追蹤依賴更新
  • 評估套件維護者信譽:下載量、GitHub 活躍度、最後更新時間

3. 開發環境安全

XZ Utils 事件的教訓是:攻擊者用 2 年時間取得開源專案貢獻者信任後植入後門。對企業而言:

  • 開發者工作站需與生產環境隔離
  • Code Review 流程,關注不尋常的依賴添加或混淆程式碼
  • 禁止開發者使用未審核的套件登錄源
硬體供應鏈安全
硬體供應鏈安全

五、硬體供應鏈安全

  • 向原廠授權代理商採購,保留完整採購憑據
  • 服務器/網路設備到貨後驗證韌體版本
  • 重要設備啟用 Secure Boot 與韌體簽章驗證
  • 廢棄設備資料銷毀:硬碟消磁或實體破壞

重點摘要

  • 供應鏈攻擊透過入侵上游供應商,再散佈到所有下游客戶
  • 建立 SBOM 追蹤所有第三方軟體元件及其弱點
  • 供應商存取必須用獨立帳號、獨立 VLAN、最小權限
  • SolarWinds/Kaseya 案例顯示:信任上游 ≠ 安全

不確定現況或下一步該怎麼做?凱茂資深工程師用實戰經驗,協助您釐清問題、找出最適合貴公司的做法。

預約供應鏈安全評估 →

相關方案:資安與網路方案

凱茂資訊提供 TPRM 評估、SBOM 建置、端點安全與整體資安架構規劃服務。

瞭解資安防護方案 → 索取報價

常見問題

什麼是供應鏈攻擊?

供應鏈攻擊(Supply Chain Attack)是駭客不直接攻擊目標企業,而是先入侵目標的上游供應商(軟體供應商、IT 服務商、硬體廠商),在其產品或更新中植入惡意程式,再透過正常的更新/部署管道散佈到所有下游客戶。SolarWinds 事件影響 18,000+ 組織、Kaseya 事件影響 1,500+ 企業。

IT 技術電子報

訂閱 IT 技術電子報

每月精選 IT 趨勢與實務文章,直接送到你的信箱

專業顧問諮詢

讀完這篇文章,是否有更多問題?

凱茂資訊提供 30 分鐘免費架構評估,由專業顧問針對您的企業現況給出具體建議,不推銷、不強迫。

預約 30 分鐘免費諮詢 免費 IT 健檢 · 5 分鐘

✓ 免費諮詢,無義務購買 ✓ 中部地區可現場拜訪 ✓ 一般於 1 個工作天內回覆

想了解凱茂能幫上什麼? · 5 分鐘免費健檢,1 個工作天內回覆