2023.09.22 14:44

SECPAAS資安館「資安小聚」講座精華:快速掌握供應鏈資安重要議題與解決之道

ADVERTISEMENT

文章目錄

一年一度的「SEMICON TAIWAN 國際半導體展」可以說是台灣科技界的重要展會之一,在 9/6 至 9/8 之間於南港展覽館一館、二館迎來 950 家展商、共計 3000 個攤位的規模。同時,產業界資安重要的推手 SECPAAS 也再度於今年的 SEMICON TAIWAN 打造SECPAAS資安館,攜手國內頂尖的資安業者於現場展出包括 SEMI E187 合規、半導體供應鏈資安韌性提升、零信任工控資安等等解決方案,同時也在三天展期的下午時間固定推出三個場次「資安小聚」活動,邀請國內外的資安專家以主題聚焦討論的形式,為大家帶來產業的新趨勢與實際的案例解析。


在接下來的文章中,筆者將為大家帶來今年三個場次的資安小聚活動的精華重點整理,讓大家能一次掌握產業界最新的資安解決方案動態。

ADVERTISEMENT

9/6 資安小聚 A:台日供應鏈資安面面觀

每一年的 SECPAAS 資安館除了資安廠商的駐點展出之外,最受到參展者矚目的莫過於採用對談形式的「資安小聚」了,不同於一般演講形式,受邀的講者們在對談中帶出重要的資安話題,也讓聆聽者更能快速掌握主題所傳達的資訊,而大量的實務案例,也更直接了當的讓相關業者能夠掌握最新訊,包括重大的資安威脅,以及相對應的解決方案有哪些選擇。

ADVERTISEMENT

今年的 SEMICON TAIWAN 有許多國外人士參展,同時資安小聚的活動也走向國際化,開展首日的「資安小聚 A:台日供應鏈資安面面觀」活動就以全英文方式對談,並邀請了來自於日本網路安全創新委員會 JCIC 的資深研究員 Ayuko Hayashi 與杜浦數位安全李庭閣技術長對談,為大家帶來日本與台灣產業供應鏈面臨的資安威脅與解決方式。

對談一開始,來自日本 JCIC 的資深研究員 Ayuko Hayashi 以「日本物聯網消費設備使用現況:機會與挑戰」為主題,點出近幾年「智慧家庭安全」在全球已成為大幅成長中的一股勢力,而日本也成為美國、中國之外的全球第三大市場,預計在 2027 年將擁有全球超過 21% 的市佔,其中「監控攝影機」是日本目前最熱門的產品,主要被用在孩童、獨居老人與寵物的照護輔助,或是作為居家防犯的安全機制之一。也因為物聯網裝置愈來愈熱門,讓相關設備成為資安攻擊的主要目標之一,除了前面到的監控攝影機,還有像是家用路由器、掃地機器人…等也成為受害的主要設備。但相對的,包括政府機構、設備銷售商與消費者皆缺乏對於物聯網資安防護的意識。

ADVERTISEMENT

以日本物聯網資安防護現況來說,透過跨產業方式連結互聯網設備、打造更安全、便利、舒適與易於管理的數位化服務將會是未來發展的重要機會,尤其能以低成本方式實現資料蒐集形式的商模,並促進國家競爭力與數位市場發展。但相對,如何喚起消費大眾對於智慧家庭安全的意識,並能進一步培育產品選購時了解安全性、供應商支援…等資訊的主動關心,會是主要的挑戰。

ADVERTISEMENT

來自於台灣重要的資安防護廠商杜浦數位安全的李庭閣技術長也在此次對談帶來了「東亞地區供應鏈攻擊」的案例分析。所謂「供應鏈攻擊」,是一種針對軟體開發商與供應商而來的新興威脅,主要透過感染應用工具的方式來散佈惡意程式,並試圖存取程式原始碼,以改變建置的流程或更新機制,而這類攻擊最大的威脅在於可以有效繞過所有的防禦機制,包括防毒程式、防火牆、IPS/IDS 與 EDR…等。

而李庭閣技術長也進一步分享了幾個知名的實際案例,其中包括 2017 年重創韓國金融網路的遠端控制軟體 Netsarang Xmanager 與 Xshell…等產品,一個名為 ShadowPad 的中國惡意程式以破壞軟體更新機制的方式,將後門程式更新至程式中來取得控制權,受害者包括三星、LG 韓國金融、能源公司、製藥產業…等。在同年,全球擁有 20 億次下載量的知名系統優化工具 CCleaner 也成為惡意軟體 PlugX 的受害者,包括官方網站與雲端儲存空間皆完全淪陷,總計有多達 277 萬的受害者且遍佈全球。

除了商務領域,也有受到關注的公眾活動成為惡意攻擊的目標,像是 2018 年於韓國平昌舉行的冬季奧運就受到名為「OLYMPIC DESTROYER」的惡意程式攻擊導致官網癱瘓數小時,讓開幕式門票銷售中斷,而冬奧的主要 IT 供應商 Atos 在數個月前就被發現受到駭客攻擊,可見其攻擊手法之縝密。另外在供應鏈方面,2022 年發生在日本的「豐田小島事件」,因為塑膠零件與電子元件供應商小島工業受到惡意軟體的攻擊,造成了知名汽車品牌豐田全日本多達 14 間工廠的 28 條生產線完全停擺,更讓豐田在日本的月產能下降達 5% 之多。 

想要完全避免上述的災難發生,杜浦數位安全會建議廠商建立好「威脅追蹤」與「安全事件應變準備」,除了「零信任」的策略,也需要在假設受到資安攻擊的前提之下,學習如何面對「看不見的威脅」,無論安全事件應變的流程多完備,都要做好最壞的打算來建立後續處理的機制,並「扭轉被動化於主動」。 

9/7 資安小聚 B:以 AI 技術提升供應鏈資安

近一兩年,AI 人工智慧儼然成為科技界的一股新興話題,雖說這項技術很久之前就問世,但直到最近才有具突破性的發展,包括對談式的語言模型可以提供資訊的搜尋與統整,生成式 AI 可以運用在程式開發、藝術與設計創作上,自然在資安防護的領域方面,AI 技術也將成為新浪潮,而資安小聚 B 場次的主題也聚焦在「以 AI 技術提升供應鏈資安」上,吸引了不少參展人的注意。

這個場次也邀請到國內相關技術的重要業者,包括啟碁科技的毛敬豪資深經理、華苓科技的楊基載副總與國際信任機器的陳洲任執行長,一起聚焦 AI 在資安領域的應用,尤其是區塊鏈在「存證」方面的應用更是一大重點。

啟碁科技的毛敬豪資深經理提到,當資安相關資料收攏之後,需要第三方機構進行內容的稽核,其中最為困難之處就在於原始資料是否符合「未受竄改」的條件,而「區塊鏈」的特性正好能夠符合這樣的需求,也被認為是未來供應鏈資安的下一個發展重點。華苓科技的楊基載副總也提到,供應鏈的資安策略,重點在於整個活動之中完成了多少商務邏輯,而相關的規範也在 2020 年所推出的 ISO 30141 有完整的定義,包括半導體、物聯網與區塊鏈的相關活動框架,而眾多資料中關於歷程記錄的內容,過往較大的疑慮也在於資料的完整性,而這也是區塊鏈技術可以發揮的地方,也更能符合監管單位的標準。

而本身就是以區塊鏈技術作存證服務的國際信任機器的陳洲任執行長也提到,區塊鏈本身也允許彼此不認識的單位進行資料的相互交易,而無需透過傳統的可信第三方,即完成資料的存證,而區塊鏈因為分散式處理,運算效能會是交易時的阻礙,而這個問題現在也能透過「擴容」的方式解決,利用資料打包的方式讓設備端的資料與公有區塊鏈作連結,並產出 Proof Token 以完成驗證,無需第三方集中保存,自然能讓成本大大降低。

此場講座的引言人工研院資通所的雷穎傑經理也舉了一個很有趣的例子:與會的三個廠商啟碁科技、華苓科技與國際信任機器分別掌握了區塊鏈領域的不同技術,就像是一個健身房一樣,有人做設備、有人提供場地,也有人擔綱教練,相互整合就能成為完整的解決方案,其中啟碁科技負責事件資料的整合,華苓科技基於六域鏈技術提供區塊鏈平台核心的生態系,而國際信任機器則負責本地資料與公有區塊鏈的連結,相互整合之後即可作為供應鏈廠商評估的依據,也能建立資料流與人的活動作完整稽核,後續介接 AI 相關應用,才能真正發揮 AI 取代人工判讀資訊、進行即時處置的功效。

而陳洲任執行長也提到,國際信任機器目前與緯創、聯發科技都已經完成相關資料的整合與實證,未來要進一步推展至其他供應鏈廠商會更為容易,不過大環境仍需要有「零信任」機制作為基礎,讓大量資料能夠整合進入區塊鏈,才能成為資產,同時也要做到在物聯網端產生資料的同時,就能直接與區塊鏈連結,來達到提升資訊安全的目的性。

9/8 資安小聚 C:供應鏈安全從晶片資安做起

台灣雖然地狹人稠,缺乏自然資源,但在早年政策扶植之下,形成了全球數一數二的半導體聚落,也成為消費電子時代不可或缺的晶片生產重鎮,在全球產業也有一定的話語權,近年來更以實務經驗主導了半導體製程的資安規範,本場次也邀請到了華邦電子陳光輝處長與 SGS 台灣檢驗科技顏志仲資安專家現身說法,為大家詳細解析「晶片資安」的實務策略。

開場 SGS 的顏志仲經理提到,現今的我們身處於大量物聯網設備包圍的環境之中,這些工具固然對我們的生活帶來了更多便利性,但相對的也可能侵害到我們的個人隱私,也更應該受到大家的重視,而目前市面上的物聯網設備可能各自有自家專屬的資安防護機制,而相關廠商也有共通的概念,思索如何在產品的底層,就將相關的安全功能整合於晶片之中,也成為廠商開始建立晶片安全的緣起。在歐美慢慢已經訂定關於物聯網產品的資安法規,廠商需要符合這些法規,才能在當地進行產品的銷售,而這也成為國內相關廠商與政府機關的共同課題。

同時晶片安全的解決方案並非近幾年才有,過往早期就有所謂「資訊技術安全評估共同準則 Common Criteria」作為 IT 採購時的安全認證規範,但由於此項規範等級達到「軍用級」,對於民生消費品來說標準過高、也難以完全做到,因此業界也慢慢發展出自己的晶片安全準則,像是 ARM 所推廣的 PSA Certified 認證,後來也有較為人所知的 SESIP 標準,用於評估物聯網元件和連接平台所打造的安全標準,而這些簡化版本的認證也讓廠商更能明確、更務實地完成認證目標。

本場活動的引言人資策會資安所的高傳凱博士也提到,與傳統物聯網資安著重於軟體層面不同,晶片相對較為難以產生資安漏洞,不過一旦發生問題可能完全無法修補,且牽涉層面極為廣大,基本上無法透過產品召回來處理,也會產生難以評估的損害。 SGS 的顏志仲經理也補充,實際上物聯網產品本身是由硬體、軟體、韌體…等不同類型的元件所組成,其中當然也包括了晶片,也因此在相關產品的安全合規方面,透過像是「堆積木」的方式,將晶片整合於底層並完成安全驗證,即可讓各個品牌的廠商搭配各自的產品外殼、韌體組裝成為自家產品,同時也能確保安全性達到基本的合規。

華邦電子陳光輝處長也提到,許多資安專家的第一條建議就是「零信任」,而晶片的資安之所以重要,就在於其實它是所有電子產品「最基礎的信任」,許多設備運行的源代碼都儲存於晶片之中,也控制了所有功能應用的原則,甚至是硬體的密鑰都儲存其中,因此對於相關測試都會有所要求,這部份歐美的晶片測試相對發展更為成熟,而台灣還處於萌芽期,相對更需要更多關注。

除了3場資安小聚,SECPAAS資安館也安排了8場資安 Pitch Show 主題演講,剖析重要資安議題並提出因應策略,請看T客邦另一篇文章的報導:2023 SEMICON Taiwan SECPAAS 資安館帶來8場資安主題演講,剖析重要資安議題並提出因應策略

為了推動產業資安與資安產業,在產業界導入資安的過程中,由數位產業署支持的 SECPAAS 資安整合服務平台扮演協助推動的角色,為資安廠商找到適合的應用場域,也為需要資安的企業帶來適合的解決方案,前述8家上台分享的資安廠商,他們的產品與服務都已上架到SECPAAS網站,想了解更多SECPAAS提供的服務與案例,可進入SECPAAS網站探索。  

ADVERTISEMENT