課程時數:2小時
半導體產業擁有全球最複雜的供應鏈生態系,從光阻液的配方到機台的維修,我們無時無刻不與外部夥伴緊密協作。但歷史告訴我們,最堅固的城堡往往不是被外部攻破,而是毀於進城的「木馬」。
本課程將帶您認識當前最險惡的資安威脅 - 供應鏈攻擊 (Supply Chain Attack)。駭客不再費力攻擊防護嚴密的我們,而是轉向攻擊防護較弱的供應商,再透過軟體更新或遠端連線,「合法」地進入我們的核心網路。
這堂課將教導您如何在「不信任」的基礎上建立「信任」。我們將闡述「零信任 (Zero Trust)」架構的精神 - 永不信任,始終驗證。無論您身處採購、總務或專案管理單位,您都將學會如何評估合作夥伴的資安體質,將資安條款納入合約,並在享受外部協作便利的同時,嚴格控管第三方的存取權限,確保每㇐位進入集團數位領空的訪客,都是經過嚴格驗證的盟友。
● 理解供應鏈攻擊原理:
-明白駭客如何利用「信任關係」進行滲透(例如:透過正常的軟體更新檔植入病毒),並認知這類攻擊的高隱蔽性。
● 掌握零信任 (Zero Trust) 精神:
-建立「身分即邊界」的新觀念,理解為何在內網中移動仍需反覆驗證,以及為何不能預設任何供應商是安全的。
● 具備供應商評鑑能力:
-針對採購與專案人員,學習在選擇廠商時,除了考量價格與品質,還需檢視其資安認證 (如 ISO 27001) 與過往紀錄。
● 管控第三方遠端存取:
-了解供應商連線進公司進行維護時的標準規範(如:使用跳板機、全程錄影、即時開通即時關閉)。
● 軟體/服務來源安全意識:
-養成不隨意使用未經審核的開源軟體或免費工具的習慣,理解「免費的最貴」背後的資安代價。
● 特洛伊木馬 - 當信任成為漏洞
● 零信任架構 - 永不信任,持續驗證
● 當採購成為數位防線:企業該如何篩選安全的盟友?
● 開門的藝術 - 安全的遠端協作
● 開源軟體與影子 IT 的代價
● 課程總結
適合未來將從事採購、供應鏈管理、專案管理、資訊、工程或需與外部廠商合作之半導體相關工作人員。
了解企業與供應商合作的基本流程即可,不需具備零信任或資訊安全技術背景。