供應鏈管理與資訊安全威脅，
也是另一塊身份安全威脅有關的威脅趨勢，
顧名思義，供應鏈就是要以適當的價格、地點和時間提供客戶所需的東西，
包含所交付的產品或服務的完整性、資料的隱私性與相關交易的完整性，
因此資料外洩、勒索軟體攻擊以及來自內部人員或攻擊者的惡意活動，
都可能發生在供應鏈環節的任何層，
即使單一供應商或第三方供應商的安全事件，都可能影響整體的產業營運或風波。

供應鏈攻擊威脅

跟供應鏈威脅相關的資安威脅與保護，
包含社交工程、釣魚郵件常見的攻擊手段，
透過偽冒合法的廠商進行信譽詐騙或交流詐騙等等。
也由於供應鏈生態系統中組織和第三方之間的聯繫和相互依賴性高，
組織需要更多擴展對供應商風險管理的作法，
以強化關鍵資產在違規、系統關閉或資料外洩時對業務營運造成的潛在損害。

而在供應鏈生態系當中，直接威脅的針對資料的控管，
因為現代企業組織多數都採用使用者和角色的存取工具，
來確保與策略合作夥伴之間的安全可靠資訊交換，
也因此身分存取管理對於在廣泛的供應鏈系統共享專有和敏感資料，
以及能夠發現和減輕系統漏洞帶來的的不當存取或資料外洩風險，
就顯得至關重要。

供應鏈威脅對策

第三方的風險管理已然是重點產業實行有年的管理作法，
從過往的典型管理發展到納入資安風險管理與合規要求等，
也由於營運共生的連結性的加強，對大型組織而言，
如何降低與管控合規違規、系統異常或資料外洩的營運損害，
成了像是金融、製造與醫療相關產業的核心。

常見的資訊安全管控作法以及關於供應鏈管理機制，
包含整體的安全策略評估、資料交換和存取許可管控等，
具體實施像是身份安全活動識別、認證強化與授權管控，
進而發現和減輕因漏洞導致的不當存取或影子身份(Shadow Identities)。

而除了身份安全角度的防護外，
適當的實施漏洞檢測與滲透測試活動，
也是主動發掘潛藏風險的手段與措施之一。
包含像是更改弱的資料庫配置設定、弱的密碼策略、
移除預設密碼以及實施端點和網路偵測與保護，
都可以在各方面進行風險降低，同時減少因資安事件導致的營運持續影響。

最後則是在具體的資安事件發生後，
一套預先定義的流程腳本可以協助組織與廠商間有SOP得以遵守，
經過實踐、測試並容易執行的資安回應計劃和補救措施，
可以在更短的時間因應發生的資安事件，
同時防止經濟損失擴大、聲譽受損以及合作夥伴和客戶流失可能。
透過定期的資安事件回應演練，也可以有效將資安風險與思維帶入組織當中。

小結

供應鏈管理與威脅是複雜且參與者眾的情況，
不像單一組織公司部署具體資安工具後可相應解決，
而必須結合業務敏感性流程、營運流程、合規性要求與專業技術角度等，
打造兼合現代身份安全控管的供應鏈威脅管理機制。