供應鏈的信任與驗證

供應鏈的信任與驗證

  • 課程介紹

    課程時數:2小時

    半導體產業擁有全球最複雜的供應鏈生態系,從光阻液的配方到機台的維修,我們無時無刻不與外部夥伴緊密協作。但歷史告訴我們,最堅固的城堡往往不是被外部攻破,而是毀於進城的「木馬」。

    本課程將帶您認識當前最險惡的資安威脅 - 供應鏈攻擊 (Supply Chain Attack)。駭客不再費力攻擊防護嚴密的我們,而是轉向攻擊防護較弱的供應商,再透過軟體更新或遠端連線,「合法」地進入我們的核心網路。

    這堂課將教導您如何在「不信任」的基礎上建立「信任」。我們將闡述「零信任 (Zero Trust)」架構的精神 - 永不信任,始終驗證。無論您身處採購、總務或專案管理單位,您都將學會如何評估合作夥伴的資安體質,將資安條款納入合約,並在享受外部協作便利的同時,嚴格控管第三方的存取權限,確保每㇐位進入集團數位領空的訪客,都是經過嚴格驗證的盟友。

  • 課程目標

    ● 理解供應鏈攻擊原理: 
    -明白駭客如何利用「信任關係」進行滲透(例如:透過正常的軟體更新檔植入病毒),並認知這類攻擊的高隱蔽性。
    ● 掌握零信任 (Zero Trust) 精神: 
    -建立「身分即邊界」的新觀念,理解為何在內網中移動仍需反覆驗證,以及為何不能預設任何供應商是安全的。
    ● 具備供應商評鑑能力: 
    -針對採購與專案人員,學習在選擇廠商時,除了考量價格與品質,還需檢視其資安認證 (如 ISO 27001) 與過往紀錄。
    ● 管控第三方遠端存取: 
    -了解供應商連線進公司進行維護時的標準規範(如:使用跳板機、全程錄影、即時開通即時關閉)。
    ● 軟體/服務來源安全意識:
    -養成不隨意使用未經審核的開源軟體或免費工具的習慣,理解「免費的最貴」背後的資安代價。

  • 課程大綱

    ● 特洛伊木馬 - 當信任成為漏洞
    ● 零信任架構 - 永不信任,持續驗證
    ● 當採購成為數位防線:企業該如何篩選安全的盟友?
    ● 開門的藝術 - 安全的遠端協作
    ● 開源軟體與影子 IT 的代價
    ● 課程總結

  • 參加對象

    適合未來將從事採購、供應鏈管理、專案管理、資訊、工程或需與外部廠商合作之半導體相關工作人員。

  • 基礎能力

    了解企業與供應商合作的基本流程即可,不需具備零信任或資訊安全技術背景。