当全球企业正因为日益扩大的供应链而面临勒索病毒入侵的风险，网路资安领导厂商趋势科技今（4）日发布最新研究报告，并呼吁位处供应链枢纽的台湾，更须谨慎提防因此带来潜在资安风险，同时加强企业受攻击面的可视性与控管。

趋势科技发布最新研究指出，全球企业正因日益扩大的供应链而面临勒索病毒入侵的风险，其中超过七成的台湾企业供应链曾遭勒索病毒袭击。

根据趋势科技委托Sapio Research於2022年5~6月期间，针对全球26国共2,958名IT企业决策者进行了一项问卷调查结果，显示台湾有高达87%的IT企业负责人，认为旗下企业正因合作夥伴与客户的关系，更容易成为勒索病毒觊觎的目标；且有6成以上（61%）企业的供应链，大部分是由资安防护较弱的中小企业所组成，使得这项挑战变得更加严峻。

例如去年曾有IT管理软体供应商遭遇一起精密攻击事件，连带使之下游的数十家托管式服务供应商（MSP）与数千家客户遭到入侵。然而，目前全球仅有约47%企业，会与其供应商分享有关勒索病毒攻击的资讯；另有25%家企业表示，将不会与合作夥伴分享可能有用的威胁资讯。

上述现象有可能是因为企业自始就没有资讯可以分享，如下各项勒索病毒活动的侦测率便低得令人担心：

· 勒索病毒恶意档案（63%）

· 合法工具，如：PSexec、Cobalt Strike（53%）

· 资料外传（49%）

· 首次突破防线（42%）

· 横向移动（31%）

趋势科技台湾区暨香港区总经理洪伟淦进一步指出：「这份研究报告指出，台湾约有7成以上（72%）企业的供应链都曾经遭遇勒索病毒袭击，使得他们的系统也陷入勒索病毒入侵的风险，数字表现高於全球的52%许多，显见如何管理供应链资安问题已迫在眉睫。」尽管如此，很多企业还是没有采取行动来协同改善合作夥伴的网路资安，而防范这类风险的首要步骤，即必须针对日益扩大的受攻击面改善其可视性与控管。

此外，供应链还可能成为骇客入侵其最终目标的跳板。据统计在过去3年曾经遭遇勒索病毒袭击的企业当中，全球约有67%、台湾则有76%企业表示，发动攻击的骇客曾经主动告知其客户或合作夥伴，有关企业遭勒索病毒入侵事件，试图藉此来逼迫业者支付赎金。趋势科技建议，企业可以采用全方位的资安平台，以持续性地评估风险与威胁，不仅有助於盘点系统受攻击面、分析网路资安风险，更能有效防范并回应威胁。