一環失守，全鏈陷入風險 製造業供應鏈重要性剖析及戰略因應

製造業是全球供應鏈的核心支柱，一旦遭遇資安攻擊而導致營運中斷，即使只是短暫停擺，其連鎖效應也可能極為龐大。生產延誤、出貨受阻、服務中斷，往往會迅速波及其他產業。更令人擔憂的是，在事故真正發生之前，這種高度依賴性往往不易被察覺； 直到像COVID-19疫情這樣的重大事件爆發，才讓人清楚看見這些系統其實有多麼脆弱、彼此又有多麼緊密相連。

舉例來說，美國肉品加工產業因疫情爆發而被迫停工，導致全美豬肉及其他食品出現短缺。與此同時，全球半導體產業也面臨連鎖式危機，工廠關閉再加上需求結構改變，引發晶片短缺，迫使整條汽車生產線停擺。各大車廠不得不縮減甚至暫停產能，造成數十億美元的產值損失，並使全球交車時程大幅延後。

為什麼製造業會成為駭客眼中的熱門攻擊目標？

製造業同時具備營運技術 (OT) 系統、複雜的供應商網絡，以及高價值的智慧財產 (IP)，使其成為駭客眼中既具吸引力、又能造成極高衝擊的攻擊目標。製造工廠高度仰賴不中斷的運作，一旦停機，即使只是短時間，也可能造成數百萬美元的損失。

根據Siemens的統計，非預期停機時間約占財富500大企業年營收的11%，約合全球總額約1.5兆美元。這樣的損失規模，使製造業成為勒索軟體與勒索攻擊的理想目標——只要癱瘓營運，就能逼出高額贖金或回報。

數位轉型帶來的攻擊面持續擴大

製造業面臨日益嚴峻的威脅環境，尤其來自國家級駭客組織的風險不斷升高。舉例來說，中國的威脅組織約占所有針對製造業攻擊行動的4%，凸顯出經濟間諜與戰略性破壞的實際風險。作為國家關鍵基礎設施的重要一環，製造業長期以來都是高階、具國家背景攻擊行動的主要目標，這也進一步突顯導入先進資安防護的迫切性。

在2024年至2025年第一季期間，製造業遭受威脅組織攻擊的活動量暴增71%，共有 29 個不同的駭客組織將其列為攻擊目標。

這樣的風險又因工業4.0技術的快速導入而進一步放大，包括人工智慧、物聯網設備與雲端運算等。雖然這些創新大幅提升了營運效率與生產力，但同時也在IT 與OT環境中引入更多複雜的新型弱點。越來越多的攻擊者正利用這些漏洞，因為他們深知製造數據、智慧財產與營運不中斷所具備的戰略價值。

在國家安全與網路風險交織的情況下，公私部門之間的合作比以往任何時候都更為重要。 Bitsight 對全球供應鏈與企業所面臨的多元資安威脅具備獨到洞察，而整體科技產業在強化製造業的網路韌性上也扮演著關鍵角色，透過提供情資、工具與框架，協助防禦各式各樣的網路攻擊。這種整合式的資安防禦策略，不僅對保護單一製造企業至關重要，更是守護其所支撐之整體經濟利益與國家安全不可或缺的一環。

複雜的供應鏈帶來了容易被進攻的入口

製造業往往擁有龐大且全球化的供應鏈，其中不少小型合作夥伴缺乏完善的資安防護能力。這些較脆弱的環節，經常被駭客當作入侵大型企業的第一個立足點，形成典型的 「供應鏈攻擊」模式。那麼，當前製造業面臨的關鍵威脅有哪些？

供應鏈攻擊

現代網路攻擊愈來愈傾向繞過正面防禦，轉而鎖定供應鏈中最薄弱的一環，例如第三方廠商、軟體供應商或硬體製造商。攻擊者一 旦滲透這些受信任的合作夥伴，就能暗中取得內部系統的存取權限，使得入侵行為更難被察覺，回應時程也大幅延後。

釣魚攻擊作為初始入侵途徑

釣魚攻擊仍是網路入侵最主要的起點，超過 90% 的資安事件都源自於惡意或偽裝郵 件。這類社交工程訊息可能竊取員工帳密，或投放惡意程式碼，讓攻擊者得以在內部系統中橫向移動，甚至進一步入侵供應鏈平台，放大整體衝擊範圍。

開源軟體漏洞風險

開源元件在軟體供應鏈中的廣泛使用，帶來了重大的資安盲點。隨著駭客日益頻繁地利用開源套件庫中的漏洞，受污染或惡意程式碼混入企業環境的風險也隨之升高，尤其是在缺乏充分審查與管理機制的情況下，更容易成為入侵破口。

供應鏈攻擊對於企業的影響

生產延誤與營運中斷

一旦資安攻擊得手，製造作業可能被迫全面停擺，導致生產延誤、產品品質受損，甚至自動化系統遭到破壞。其連鎖效應往往進一步波及下游客戶與合作夥伴，造成違約罰款與營收流失。

財務損失

修復供應鏈資安事件的成本相當高昂，從事 件應變處理、鑑識調查，到系統重建與法律 費用，累積下來的財務壓力可能十分沉重。 對於毛利率偏低、產能周轉率高的產業而 言，即使只是短暫停機，也可能帶來數百萬 美元等級的產值損失。

聲譽受損與信任流失

供應鏈資安狀況往往被視為企業整體資安成熟度的重要指標。當供應鏈系統發生資安事件時，將直接影響客戶、合作夥伴與監管機 構對企業的觀感，長期下來可能衝擊商業關係、利害關係人信心以及品牌聲譽。 高價值智慧財產與間諜活動風險由於製造業掌握大量高價值智慧財產，例如晶片設計與專有製程技術，特別容易吸引國家級駭客組織覬覦。舉例來說，至少有三個具國家背景的威脅組織，近期被揭露涉入專門鎖定台灣半導體生態系的釣魚攻擊行動。其攻擊目標不僅包含晶片製造商，還涵蓋設計公司、測試業者、供應鏈物流相關企業，以及關注台灣半導體產業的金融分析師。

為了提升可信度並提高攻擊成功率，攻擊者利用已遭入侵的大學電子郵件帳號，發送以求職或徵才為主題的釣魚郵件。這些郵件通常夾帶含有惡意程式的ZIP或PDF 檔案，並託管在像Zendesk、Filemail等看似可信的檔案分享平台上。這波攻擊行動的時間點，正好與美國與台灣對先進半導體技術出口限制日益升高的趨勢高度吻合，更加凸顯這類智慧財產在國家發展戰略中的關鍵價值。

策略性影響

台灣的半導體產業是全球科技供應鏈中的關鍵樞紐，一旦遭到入侵或出現營運中斷，可能在全球市場引發重大的連鎖反應，影響範圍從消費性電子產品一路延伸到國防系統。拜登政府所推動的出口管制政策，進一步加速各國發展本土半導體能力的腳步，也促使更多具侵略性的網路行動出現，企圖降低對外國技術的依賴。因此，這些國家級駭客行動不僅是眼前的資安風險，更反映出長期的戰略布局，未來甚至可能重新塑造全球科技實力的權力版圖。

營運技術 (OT) 系統特別脆弱

製造業高度仰賴傳統OT系統，而這些系統在設計之初從未將資安納入考量。它們往往缺乏完善監控、長期未更新修補程式，也沒有做好網路分段控管；一旦遭到入侵，影響的不只是IT環境，還可能直接衝擊生產流程或人員安全。

製造業正面臨多元化的網路威脅環境，包括：

• 勒索軟體：近一半的製造業資安事件與勒索軟體有關

• 定向釣魚攻擊：廣泛用於竊取憑證或傳送惡意程式

• 遠端存取木馬（RATs）與後門程式：常被部署在長期間諜行動或破壞性攻擊活動中，用於持續滲透與控制系統。

為什麼供應鏈安全是重要的？

• 對製造商的財務風險極高：從營運停擺到被迫支付贖金，任何一項都可能帶來鉅額損失。

• 牽動國安與經濟安全：一旦製造能力遭到操弄或破壞，可能干擾關鍵基礎設施與國防供應鏈。

• 削弱競爭優勢：任由他人竊取你的商業機密，等同於拱手讓出技術優勢與市場占有率

在製造業攻擊面持續擴大、國家級威脅與供應鏈風險交織的情勢下，企業已無法只依賴內部防護機制來應對外部世界的變化。 Bitsight CTI 透過暗網監控、AI 驅動情資分析與對OT環境與第三方供應商的持續可視性，協助企業即時掌握真正與自身相關的威脅動態，並將有限的防禦資源優先投入在最關鍵的高風險資產上。從威脅組織行為洞察、外部曝露面量化，到即時預警與決策層報告，Bitsight CTI 不只是被動的威脅通報工具，而是一套能夠支撐營運韌性、供應鏈安全與長期競爭力的策略型資安情報平台，協助製造業在高度不確定的數位時代中，建立更主動、更可預測的防禦能力。

關於Bitsight 可視化外部風險暨廠商供應鏈管理

在數位轉型與網路威脅不斷演進的環境下，企業需要更精確、即時的風險管理機制。Bitsight 可視化外部風險暨廠商供應鏈管理透過外部視角提供全方位的風險管理，持續監測企業自身及供應鏈的安全狀態，幫助組織快速發現潛在漏洞與安全弱點，減少網路攻擊帶來的營運風險。 Bitsight 採用業界領先的外部風險評分技術，透過量化數據呈現企業的資安狀況，使決策者能夠清楚掌握風險程度並優化安全策略。平台可自動分析企業暴露於網際網路的資產，評估攻擊面，並提供具體的改善建議，協助企業加強防護措施。此外，Bitsight 還能協助企業符合各類法規要求，確保資安合規。

Bitsight 可視化外部風險暨廠商供應鏈管理>>>https://www.gss.com.tw/bitsight-product