台積電病毒事件的警示 六大防範步驟降低資安威脅

台積電 (2330-TW) 因機台上線前未做好病毒掃描，導致 WannaCry 變種病毒入侵影響晶圓出貨時程以及成本增加的事件，專家認為，此事件顯見供應商的資安威脅不容忽視，建議企業應優先進行 6 個防範步驟，包括考慮多層次的縱深防禦、可使用白名單機制，以及重要系統上線前，應先在測試區進行完整檢測等。

資誠智能風險管理諮詢有限公司執行董事張晉瑞今 (7) 日表示，供應商協助新系統上線，或安裝新軟體造成資安事故事件時有耳聞，其背後有三個點值得思考。

首先，內部使用的系統環境可受攻擊的面向較少，其資安的補丁更新是否沒有和對外系統同等級，也就是說，就算是已知的病毒，也可能對內部系統造成巨大影響。

其次，新系統、新軟體的上線流程是否完備且落實，且依照公司系統強化標準 (System Hardening) 設定後才上線。

第三，若真的發生資安事故，能否將受影響的範圍限縮在最小的程度，而不是全面系統、網路都遭感染，這與縱深防禦的網路規畫有關。

張晉瑞表示，供應商是一個常見的資安威脅來源，原因在於供應商對資安的要求可能沒那麼高，加上在封閉式的環境中資安威脅面向原本就不多，很容易造成管理上的疏忽，導致執行的標準作業流程沒有確切落實，建議企業應優先進行以下六個防範步驟，以降低供應商的資安威脅。

一、加強對供應商的資安要求，例如要求供應商應取得相關的資安認證，確保其資安符合一定的水平。

二、確切落實標準作業流程，否則再強大的資安防護設備或措施，也經不起人為的疏失。

三、企業應考慮多層次的縱深防禦，張晉瑞說，這是阻擋病毒擴散的常見手法。

四、常見的病毒掃描僅能防範已知病毒，對於更先進的病毒攻擊無法防範重要系統上線前，應先在測試區進行完整檢測，經評估無異常後才能到正式區使用。

五、可使用白名單機制，此這對於防止未知程式，例如病毒的執行比防毒軟體更有效。

六、將網路安全人員和培訓列為重點，在建構網路安全計畫時，除了網路安全政策，企業應將網路安全人員和培訓及涉及網路安全之員工培訓和監督列為重點，降低來自於人為的風險。