根據 2025 年美國的電信業者 Verizon 針對資料外洩的調查報告,企業在日益複雜的網路安全環境中,需要重新定義網路安全與供應鏈的治理策略。
過去的企業通常會將資安問題視為內部的防護要點,但最新的數據顯示,第三方供應商已成為客戶資料外洩的高風險來源,這也表示企業必須改變對資訊安全架構傳統的管理思維。
三分之一資料外洩來自第三方供應商
根據調查報告顯示, 2025 年全球三分之一左右的資料外洩事件,與第三方供應商或外部平台密切相關。這一現象同時反應出傳統依賴邊界防禦的架構,已經不足以應對今日的威脅。
隨著雲端跟軟體即服務的概念越來越普及,企業的運作方式也慢慢被影響,資訊安全的界線開始變得模糊,企業不得不面對更大、變動性更高的網路攻擊。這不僅是技術上的議題,更涉及到企業對供應商的信任問題、法律責任以及企業整體的風險管理策略。
在 Verizon 的調查報告中,可以看到對供應商攻擊增加的趨勢。特別是對 VPN 和邊緣設備的攻擊暴增近八倍,顯示攻擊者正積極利用企業在遠端辦公、雲端運算與 IoT 等方面的安全漏洞。這些攻擊手法的演進,正漸漸取代傳統的釣魚網站與惡意軟體,成為主要的資料外洩入口。
軟體即服務概念的興起與雲端硬碟的普及,雖為企業帶來更高的彈性與效率,卻也同時擴大了網路攻擊的風險,使供應鏈中每一個環節都可能成為駭客攻擊的目標。
許多企業在風險管理上主要依賴合約上的安全評估,缺少持續的監測與行為分析的機制。尤其是在權限與憑證管理方面,遠端存取與 API 應用的增加,使得這些防線變得更加脆弱。
若只停留在事前的合約審查或事後的補救,企業將無法及時掌握風險狀況,也難以在遭受攻擊時迅速應對。
建立零信任供應鏈,強化彼此信任與資安韌性
面對這些挑戰,企業需要透過建立「零信任供應鏈」的思維來強化整體安全防護。
也就是說,供應鏈中的每個環節,都必須經由持續的驗證與追蹤來確保可信度。此外,供應商對風險的分級制度也成為關鍵,將外部平台納入持續監控範圍,更是事前預警與風險降低的策略。加強身份與存取管理(IAM),縮短憑證的生命週期,亦是保障供應鏈安全的必要步驟。
除了技術層面的改進,透明度與合作精神也顯得十分重要。過去多以責任歸屬為出發點,現在企業必須營造一個資訊共享、風險透明的合作環境。這不僅是強化彼此的信任,也是企業在網路防護上變得更加安全的關鍵。
建立資訊透明且資訊共享的合作環境,讓供應鏈不再是企業外部隱形的變數,而是整體資安防禦的核心元素。多方共享的數位信任機制,要求企業重新調整責任分工,加強即時監控,並持續優化安全策略。未來的資安管理不只是技術的堆疊,更是一個會持續進化、各方共同負責的管理模式。企業才能在數位化轉型中,同時兼顧營運彈性與穩固的信任基礎。
【推薦閱讀】
◆ 網路攻擊不敲門,從供應鏈潛入——下游補好 3 點才不拖累全產業
◆ 【怕駭客、更怕手滑】員工錯發 Email 是資安新雷區,AI 如何變身「寄信保鏢」?
◆ 2025 資安全球威脅升級:駭客企業化、AI 詐騙加速、中國行動爆量
*本文開放合作夥伴轉載,參考資料:《TechRadar》、《Cyber Defense》,圖片來源:Unsplash
(責任編輯:鄒家彥)
