伴隨著台灣總統大選，中國駭客組織針對台灣的攻擊也變得頻繁。近期，我們調查一起針對政府供應鏈攻擊事件，這次攻擊針對台灣極為常用的文書基本工具，除了政府機關外，在法律、學術單位也大量使用，潛在受害者超過 50 萬。 在這次攻擊，我們也發現許多中國網軍的惡意程式的蹤跡，攻擊者透過攻陷更新伺服器，派送惡意程式到受害端點，並持續潛伏數年。

從這次攻擊事件，我們也回顧過去十年，從 Operation GG 到近年針對金融單位的供應鏈攻擊，並從軟體開發流程、供應鏈服務流程兩個層面，深入分析各種不同的供應鍊攻擊手法，包含：供應鏈軟體漏洞、惡意程式植入正常程式、跳島攻擊及外包商外洩。分析供應鏈事件起因，與防禦機制。此外，我們也會介紹在過去幾年，我們如何利用 AI 協助分析師進行事件調查。

隨著國際間地緣政治風險升高，企業經營勢必更加關注供應鏈安全。在這種情況下，建立堅固的供應鏈韌性策略至關重要。這包括加強與供應商的合作，並採取更有效的風險管理措施。這樣做不僅可以保護企業降低營運風險，還可以提高供應鏈的彈性和穩定性，確保企業能夠應對各種挑戰，維持業務的持續運營。

本演講主要對象為對供應鏈資安有興趣的人，尤其適合負責規劃供應鏈合作資安風險管控機制的人員，藉由分享國際間的法規發展與不同資安要求架構案例，提供企業在規劃建立供應鏈韌性時的參考依據。

在當今全球網路安全框架下，軟體物料清單 （ SBOM ） 已成企業關注焦點。本演講將剖析 SBOM 的實際應用、技術挑戰與產業洞察，涉及流程管理、部門協作及供應鏈整合。透過案例分享，揭示 SBOM 在軟體管理、組件追踪及漏洞評估的重要性，強調自動化與手動審核的平衡。深入探討 SBOM 作為全面安全策略一環的角色，提供避免常見誤區並採取最佳實踐的策略，並介紹 SPDX 國際標準的最新規範，以提升軟體安全性和管理效能。

企業的 IT 單位每年都會評估 / 採購許多的資訊設備與系統，但在導入這些系統前除了基本的功能性測試外，是否也有進行了足夠的安全測試？講者將就過去在企業 IT 單位內針對資訊系統導入的經驗進行分享，包含在安全測試過程中發現的已知 / 未公開漏洞與挖掘手法，以及廠商的弱點修補能力評估等。

面對這幾年法規忽然多出來的資安領域要求製造方、供應鏈或者品牌商有的選擇了全權委外處理，有的選擇了自行成立實驗室應對。該如何選擇服務提供商 ? 該選擇那些工具?要不要找廠商來做滲透測試?要不要聘請第三方監督顧問? 我要怎麼要求我的供應鏈 ? 這份議程將會跳過基礎介紹的部分，直接深入幾個資安相關的認證環節的決策與風險。哪些需求外包問題不大、有哪些階段容易出意外、挑選輔助工具時需要考慮到那些細節、後續產品生命週期的情資維運或者是公司內部人員培訓方向等等。以上等議題都會在此分享中有大量的情境分析與經驗分享。

2023 年 11 月 1 日 FIRST 正式發布了 CVSS 4.0 ，從 2005 年的第一版，經歷各個時期的環境變化與改進，共有了 4 次的改版，來到了目前的 CVSS 4.0，CVSS 不僅是資安業界最重要的指標之一，更是使用者面對弱點時重要的參考資訊。

這個演講中會簡介 CVSS 的概念和 CVSS 4.0 有那些改變，聽眾未來遇到 CVSS 分數時不只是把它當成一個數字，更能了解其背後的意義。另外會提出幾點 CVSS 中常常被忽略掉的細節，如 : 50% 的 CVE 都是 CVSS 7 分以上、嚴重程度 High/Critical 的 CVE 只有少數被利用、CVSS 普遍偏高分的原因。

最後利用擬真的例子，帶領聽眾將一個弱點描述，分析出各項 CVSS 指標，並使用 CVSS 計算機算出分數。

近來，眾多史詩級案例已凸顯供應鏈資安威脅成為駭客入侵的主要通道。企業不應自欺地認為自身的資安建設已經堅不可摧，也不應輕視自己的規模而認為不會成為駭客的目標。Vision One 提供主動評估風險弱點管理，結合即時威脅監控，並實行供應鏈零信任安全存取策略，以協助企業確保供應鏈的安全。