去年9月,免费系统清理及优化软件CCleaner的开发商Piriform透露,该软件的下载服务器遭黑客入侵,在下载包内混进恶意程式,可导致软件用户的电脑名称、IP位址、已安装软件清单表等资料外洩至黑客设于美国的伺服器,估计有227万人使用受影响的软件。

过去数年,这类迂迴形式的网络攻击日趋频密,黑客通常会透过数码供应链将恶意程式植入软件公司的安装与更新系统,利用这些受信任的管道,绕过软件用户的资讯保安机制散播病毒。

要有效应对供应链攻击威胁,必须採取完善的风险管理,建立快速回应及稳健安全的数码供应链。除了做好内部资讯科技设施的保安外,企业更要将这要求延伸至供应商、客户以至合作伙伴。

企业把软件供应商整合到内部资讯科技基础设施之前,需要进行更严格的审核。系统保安必须持之以恆,企业应要求供应商定期报告安全状态,企业也需不断更新审核程序。

虽然黑客攻击方式层出不穷,但企业仍可通过多种方式加强供应链安全。企业可审视整个供应链,建立全方位的保安视野,并针对风险特性,制定分级保安方案,才能应对新的威胁。