文章目錄
2023 年 SEMICON Taiwan 國際半導體展在 9/6-8 於台北南港展覽館一、二館盛大舉行。由數位發展部數位產業署(以下簡稱產業署)支持推動的 SECPAAS 資安整合服務平台一如既往於會場設立 SECPAAS 資安館,不遺餘力推廣資安的重要性。
(相關報導:SECPAAS 資安館在2023 SEMICON Taiwan 展出什麼?8項賦能半導體產業的資安解決方案一次看)
今年度 SECPAAS 資安館邀請到八家資安廠商共襄盛舉來展出,也舉辦 4 場 Pitch Show 由8家資安廠商代表分享對資安趨勢的觀察以及業界可以採取的策略與作為,上台的廠商包含優倍司、鴻璟科技、華苓科技、來毅數位科技、全景軟體、竣盟科技、中華資安國際、中華龍網。
T 客邦特別到現場進行採訪紀錄,並將八家廠商在 SECPAAS 資安館 Pitch Show 的精彩演說彙整成文。接下來請跟著我們一起好好深入了解最新的資安議題以及其因應之道。
半導體供應鏈資安有做足了嗎?
重視資安問題,不應該只是半導體廠商自己的責任。隨著資安意識加強,以及相關法規規範,半導體供應鏈相關廠商也被要求要強化資安,確保半導體產業從上游到下游都有嚴密的資安防護。
雖然大家都努力做資安,但真的做得夠嗎?場域的 IP、MAC 都有獲得完善的管理嗎?公司網路是否能阻擋陌生連線?公司的設備數量都掌握得清楚嗎?種種問題,如果答不上來,或是回答的有疑慮,就要好好反思公司的資安是否真的有做到位。
優倍司:供應鏈資安風險防不勝防?做好基礎網路及設備安全管理是關鍵!
內網管理品牌優倍司夏開資深業務經理與馮柏璉業務經理以對談方式,深入探究半導體供應鏈的資安是否做得足夠。
兩人以場域的 IP、MAC 管理開場,暗示目前許多公司的管理方式仍舊相當傳統,例如以 EXCEL 表單人工管理。採取人工管理方式的最大缺點在於,無法即時掌握所有 IP,更難以知道哪些設備已經被汰換,或是哪個員工已經離職,電腦不再使用。一旦發生 IP 衝突,就可能導致機台中斷運作。而已汰換或是用不到的設備,若不詳加管理,也會導致占用 IP。
兩人強調,良好的作業環境,應該要有一套系統可以進行 IP 預約、保留、回收,並能隨時掌控所有 IP、MAC,甚至具備綁定機制,不用怕重要的機台 IP 被搶走。
此外,公司的網路安全是否有獲得嚴密把關,更是要隨時留意的重點。若是發生員工或是廠商私接內網帶走重要資訊,後果難以想像。優倍司建議,應該要設定白名單機制,只要是白名單以外的設備要連接公司內網,就能立即阻斷。
除了防止私接網路,也得預防從外部網路的攻擊。許多企業採取的作法是購買防毒軟體,搭配 Windows Server 更新服務,希望可以就此阻絕外網的攻擊。然而,優倍司兩位專家指出,光靠防毒軟體,只能阻擋「已知」的病毒,就好像人發燒,可以推論生病了,可是沒發燒不代表沒生病。因此,建議要定期盤點網內軟體,並了解每一個軟體的風險值,即時更新或修補漏洞,同時定期更新防毒軟體,才能有效預防攻擊。
回到企業的資產盤點,兩位講者表示多數公司的資產清單很難掌握,尤其盤查的數據相當不精準。在這樣的情況下,當問題發生,將難以立即知道出問題的設備,更別提防範了。因此,建議企業導入自動化資產盤點系統,不僅可以自動辨識設備,甚至可以一目了然知道有多少設備、分別負責什麼功能與業務。
不僅資產盤點容易被疏忽,人員的帳號密碼管理也可能是一大漏洞。大多數公司都會針對公司內外部人員的帳號密碼進行規範,然而有沒有遵從規範設定帳號密碼,就是另外一回事了。優倍司提醒,太過容易破解的帳號密碼,就是駭客最容易侵入的管道,務必要例行性地盤查,最好是能透過系統自動查核,確保所有人員的帳號密碼都有遵守設定規範。
做好完善的基礎網路安全管理及設備資產管理可以防範98%以上的資安風險,UPAS 透過專利技術,可協助完整盤點設備、阻擋不明設備連線、不合規設備立即修補,並在單一平台上清楚顯示所有設備資訊及安全狀態,讓風險可視化、管理簡易化,確保每台接入內網的設備安全且合規,有效防禦資安攻擊與機敏資訊外流。
華苓科技:病毒不斷升級,半導體產業鏈合規資安更是重要
隨著全球資安意識提高,半導體產業也相當重視資安議題,甚至連董事會都被要求要合規資安,顯見資訊安全意識明顯提高。
華苓科技梁賓先董事長指出:「半導體資安防護維運的關鍵,在於要能提前偵測大量設備或服務。供應鏈中的工控設備或系統老舊問題,會進而導致無法即時取得漏洞修補程式,以至於駭客取得攻擊的機會,引發供應鏈癱瘓等骨牌效應。」
因此,梁賓先董事長建議企業可從兩個面向分別提升半導體供應鏈的資訊安全。
第一個面向為設備端的資安,包含要符合 E187/E188 設備資安標準、ISO 27001 資訊安全驗證標準、ISO 9000 品保認證標準等等。梁賓先董事長表示:「透過特定的系統,可以在設備出貨前,針對客戶要求項目發起 E187/E188 自檢表,就電腦作業系統規範、網路安全、端點保護、資訊安全監控面向進行檢核。同時也不要忘記定期替內部購買的機台進行檢核。」
第二個面向則是連網的防護。梁賓先董事長說明:「為了防堵駭客透過連網進行攻擊,公司內部應該要進行可視帳號權限設置,讓相關人員可透過各類裝置,隨時就多台設備監控下之場域安全狀況、設備所屬環境安全狀況進行查閱。當人員可以隨時監控,就更容易察覺到高風險的事件。如果透過系統,甚至可以自動掃描,一旦發現高風險事件,就會自動通報相關人員。」
梁賓先董事長特別點出,公司可以透過區塊鏈將 log 上鏈不可被竄改;經過網路偵測與回應 (NDR) 偵測發現的事件記錄,並針對此記錄做後續資安鑑識,提供作要重要的依據,更能滿足法規與稽核。
此外,當異常事件發生,企業也應該要對特定事件或情況建立完善的追蹤與監控機制,才能及早發現並及時處理,有效預防類似事件再次發生。最後,梁賓先董事長指出,設定腳本的重要性:「針對不一樣的合規規範,應該要有不一樣的流程腳本,例如 ISO 27001 的腳本有應變類型、預防類型、定期任務檢查類型、盤點及鑑別類型等腳本做以管控。透過腳本,可以更有效率地預防異常事件發生。」
資安攻擊大增,SEMI E187合規成半導體產業鏈首要任務
近年來駭客鎖定半導體供應鏈攻擊的事件愈來愈頻繁,例如 2020 年台灣半導體封測廠力成的湖口廠區伺服器遭駭客入侵;2023 年初,美國半導體設備商 MKS Instruments 遭到勒索軟體攻擊,衝擊了訂單處理與產品運送;同樣在 2023 年,勒索軟體 Lockbit 入侵台積電 IT 硬體供應商。
不斷發生的資安事件,也促使產業界更加注重資安防護。由台灣主導的半導體產線設備資安標準 SEMI E187,更於 2022 年初上路,希望透過設備規範,提升半導體供應鏈的資安韌性。也因此符合SEMI E187 規範,已經成了半導體產業的燃眉之急。
竣盟科技:遵循產業資安規範,建立以資訊安全為基礎的數位環境
「SEMI E187 資安標準可讓產品產製資訊更加透明,並帶動供應鏈資安共識,供應鏈消費者更容易於市場上找到優質產品。」對於 SEMI E187 的重要性,竣盟科技創辦人兼總經理鄭加海在演講開頭就開宗明義說道。
至於企業該如何導入 SEMI E187 規範?鄭加海總經理解釋,應該要從三個面向作為導入策略:「第一個是至關重要的「人員 (People)」,必須獲得組織高層的支持與資源投入,並有開發單位的全力協助,IT 與 OT 身分的成員均衡的納入團隊。同時還要培訓資安專業人才,並搭配外部顧問技術支援,才能以最有效率也最順暢的方式導入規範。」
第二個則是「流程 (Process)」,鄭加海總經理接著說明:「應從開發流程即開始加入資安防護元素,以確實了解影響系統穩定的干擾因子為何,並思考如何降低風險。同時,也要重新思考既有流程及機制,並確保可以落實。此外,還要參考 ISO 導入精神,說寫做一致。以及思考開發流程調整及銷售時程相關衝擊該如何因應。」
第三個是「技術 (Technology)」,鄭加海總經理強調:「導入之相關防護機制與產品以不大幅干擾系統穩定度,降低破壞風險或提高發現時效為優先。與此同時,從開發初期就加入防護及監控機制,讓開發人員同步參考對系統的影響性。」
最後,針對 SEMI E187 合規驗證,鄭加海總經理提出幾點注意事項:
- 作業系統:若現行系統已 EOS,應評估平台作業系統的開發調整以及銷售時程衝擊,並請開發團隊確認是否可達成目標。
- 作業系統:應提供相關機台操作軟體的開發環境以及採用函式庫套件,並依據條文於產出文件說明軟體兼容性、軟體包依賴性、性能影響以及應用更新套件或安全更新的副作用的評估方式與注意事項。
- 網路安全:加密驗證應提供封包擷取軟體所擷取的資訊提供佐證,稽核人員亦採同樣方式確認。Service Port 檢測資訊應包含 TCP 、UDP 、ICMP。
- 端點防護:應提供機台系統於出廠前以及出廠後的端點防護相關資訊包含防護策略與文件、弱點掃描報告、資安健檢結果、帳號權限說明、硬體外部介面啟用與關閉說明等等。
- 安全監控:提供機台系統相關系統、軟體、安全、帳號等活動紀錄之設定原則以及配置方式,也包括事件日誌。
鴻璟科技:生產與資安可以同時兼顧,資安做好,產線不停擺
隨著 OT 設備資訊雲端化,且開始對外連網,加上工業 4.0 促使產線環境與 IT 連線增加,也就是 IT 與 OT 界線日漸模糊,OT 場域面臨的資安風險也跟著提高。
更不用說許多老舊設備大多互相串聯,導致擴散風險高,而且這些超過 10 年以上的老舊設備大多數都在運行過期的作業系統。而 OT 場域所使用的工業控制系統 (ICS 系統) 也大多有安全性不足的問題。
不僅如此,多數 OT 場域都是 24 小時生產不斷線,如果被攻擊,就會導致生產中斷。對於製造業來說,這是難以容忍的狀況。也因此,半導體製造業才會成為勒索病毒的重要攻擊對象。
對於上述風險,鴻璟科技吳思緯業務協理表示:「台灣遭到勒索病毒攻擊的數量是亞洲第三名!近年政府極力推動資安即國安,是因為近年製造業遭受駭客攻擊頻率上升,尤以台灣高科技產業聞名,往往成為駭客主要攻擊標靶。如何有效的部署,保護產線不受攻擊與威脅,將是 OT 資安面臨最大挑戰。」
而針對各據點連線回總公司的內網安全,吳思緯業務協理也舉例說明,客戶最初選擇使用知名大牌防火牆產品並定期更新 License,但遭駭客攻擊鎖硬碟,後又導入 MDR 依然中勒索病毒。顯然客戶已被駭客鎖定,但後續補強並未足夠,導致再次被駭。
在這種情況下,吳思緯業務協理認為,應該要注意端點防護的強化。當有多個分廠區透過 VPN 與總公司連線,建議選擇在每個據點做內網防護,防堵威脅透過 VPN 連線感染回企業內部。與此同時,總公司 Gateway 部署的防禦應該加倍,而且重要設備之前也要部署防禦產品,做到端點重點加強。
至於 SEMI E187 合規問題,吳思緯業務協理提醒,導入相關系統軟體防護前,要留意有沒有符合 SEMI E187 的四大要點:作業系統規範、網路安全、端點防護、資訊安全監控。舉例來說,有沒有提供 Windows 弱點病毒碼 (作業系統規範);有沒有提供 DPI 檢測、過濾傳輸資料 (網路安全);有沒有橋接模式連線至端點裝置前 (端點防護);有沒有提供 CMS 中央管理系統 (資訊安全監控)。
智慧製造場域成駭客攻擊首選,監控與防範是重點
根據統計,2022 年駭客最愛攻擊的產業別,第一名是製造業,佔前十大受攻擊產業的 24.8%。製造業之所以成為駭客的攻擊首要目標,中華資安國際王信富副總經理點出三個原因:製造業對設備停機的承受力低、停機一小時將造成數百萬美元損失、威脅者攻擊製造業獲得高盈利。
當製造業面臨駭客攻擊的風險,該如何提升資安?如何避免產線中斷?中華資安國際、中華龍網兩家資安公司將帶來不同的解方。
中華資安國際:四道防線,打造智慧製造場域銅牆鐵壁
國內資安專業服務領導品牌中華資安國際,深耕OT場域多年經驗,今年正式以OT SOC ready,提供智慧製造場域業者全方位解決方案。中華資安國際王信富副總經理指出,製造業面臨的資安威脅,以勒索病毒 (32%)、資料竊取 (19%)、資料洩露 (16%) 為最多。而地區來說,亞太地區的製造業遭受攻擊比例,更是佔了全球 61% 之多。
製造業最擔心的莫過於勒索病毒的攻擊,一旦遭到攻擊,產線就會停擺,損失慘重。而勒索病毒是如何入侵企業的呢?王信富副總經理解釋:「第一步是滲透廠商維運電腦,或利用場域潛藏對外破口連入監控或維運主機。接著利用合法帳號或 CVE 漏洞進入 OT 場域,並部署勒索軟體,最後大規模加密勒索。」
從整個勒索病毒入侵的流程可知,必須要建立層層關卡,才能在每一個環節有效阻擋病毒入侵。
王信富副總經理提出,可以透過四道防線,避免被勒索病毒攻擊。
- 第一道防線-OT資安健診:了解工控系統潛在風險,建立安全網路架構。
- 第二道防線-OT IDS/IPS:部署入侵偵測/防禦系統,偵測或阻擋惡意活動。
- 第三道防線-OT SOC 監控:7x24全天候監控安全與隔離性。
- 第四道防線-IEC 62443 制度導入:建立工控網路安全計畫。
王信富副總經理接著解釋:「首先是資安健檢,我們必須找出高風險關鍵資產,以及判斷風險影響範圍,並進行風險評估與改善計畫,進行場域弱點修補,最後歸納出可接受風險。接著可以利用入侵偵測系統,針對電腦網路和電腦系統的關鍵節點、行為、安全日誌或稽核資料或其他網路上可以獲得的資訊,進行研判、比對、收集分析可針對入侵系統的異常行為或侵入的企圖,例如偵測其中是否有違反安全策略的事件發生或攻擊跡象,並通知系統安全管理員。」
而在 OT SOC 監控的部分,要針對場域環境調查及挑選 OT 網路流量監控點,並建置規畫 OT 工控解決方案,包含入侵偵測/防禦系統、單向閘道器、防火牆等等。最後是 IEC 62443 制度導入,針對工業自動化和控制系統,建置保護工廠資訊安全方法,及產品開發流程內容。
王信富副總經理最後補充,這四道防線,同時也呼應了 SEMI E187 的 4 大防護要求,可以全方位強化 OT 場域的資安防護能力。
中華龍網:以零信任架構確保智慧製造場域的資訊安全
近年來,駭客攻擊除了以半導體製造商為主,同時轉向半導體供應鏈,試圖從供應鏈的資安弱點入侵,進而竊取半導體廠商的機密資料,或是進行加密勒索。
因此,從上游 IP / IC 設計代工服務,到中游生產製程及檢測設備、光罩、化學品的供應,以及 IC / 晶圓製造,到下游生產製程及檢測設備、基板、導線架,以及 IC 封裝測試、IC 模組,通通都有可能是駭客的攻擊對象。
中華龍網陳又甄業務經理指出,以軟體供應鏈為例,有四種攻擊模式,包含了軟體供應商本身就是攻擊者;軟體供應商被攻擊者所駭,其軟體產品因而遭埋入惡意程式;軟體供應商的產品使用含惡意程式的第三方軟體,例如開源軟體;軟體供應商的產品使用含易遭駭的程式漏洞的第三方軟體,例如開源軟體。
至於要如何避免被攻擊,陳又甄業務經理點出,「零信任是關鍵。零信任的重點在於永不信任,持續驗證。講得仔細點,就是讓正確的身分可以存取由正確程式碼授權的正確機器,並在正確時間與情境下,存取到正確的資料。」
陳又甄業務經理接著以中華龍網端點資安合規管理平台為例,從三大面向切入,以零信任架構為基礎,確保資訊安全。
第一個是資訊資產管理 IAM (Information Assets Management),協助盤點政府或企業內部個人電腦及主機數量、作業系統版本及配置部門等相關資訊,以利網管人員掌握場域端點及維運管理。
第二個是電腦安全組態基準 GCB / FCB (Government / Finance Configuration Baseline),將政府或金融機構內部個人電腦及主機,套用符合美國 NIST 規範之一致性安全組態設定 (例如密碼長度、更新期限等),降低遭駭客入侵的風險。
第三個是軟體弱點管理系統 VANS (Vulnerability Alert and Notification System),盤點比對政府或企業內部電腦及主機安裝之各類應用軟體已知的弱點或漏洞,進行修補更新,避免遭駭客利用,入侵企業網路以及在內網橫向滲透。
以多因素認證、信任根,打造更安全的 IT / OT 環境
在 IT / OT 環境愈來愈複雜與混合的情況下,相關管理人員無不絞盡腦汁,希望更加強化整體環境的資訊安全。
來毅數位科技、全景軟體分別提出了有助於強化 IT / OT 資安的解決方案,一是強調「多因素身分認證」,透過更多因素的認證機制,達到資安強化的效果;另外一方則強調「設備憑證管理」與「信任根應用」的重要性,以零信任網路架構,搭配信任根,讓 IT / OT 環境更加安全。
來毅數位科技:導入多因素身分認證,資安防禦能力更讓人心安
來毅數位科技長期對台灣網路安全的市場觀察發現,大多數的企業仍在使用帳號+密碼來進行網路身份認證機制,而對於加強後之雙因素身分認證,則是透過「帳號+密碼」搭配「一次性密碼, OTP」來構成認證機制。然而,不管是傳統的帳號密碼或是加上OTP的這樣認證方式,對於製造業來說仍嫌單薄,甚至容易成為駭客攻擊的標靶。
來毅數位科技楊長曄業務協理接著說明:「來毅的 Keypasco多因素身份認證,就是在無需密碼輸入及不改變使用習慣下,利用諸多的認證機制,例如設備特徵、地理位置、時間管控、進場認證等來強化身份認證及資訊安全,只要不是使用自己的電腦或是行動裝置,或是不是在自己的位置,系統就會阻擋登入。」
除此之外,多因素認證還可以結合更多功能,提升資安防禦力。楊長曄業務協理解釋:「例如具專利之雙通道架構加上本身的設備形成具有阻擋中間人攻擊 (MitM)、瀏覽器攻擊(MitB) 及釣魚攻擊 (Phishing) 等常見駭客手法的系統架構、另外也可以結合 PKI 私鑰分拆機制,僅將一半的加密私鑰存入受設備特徵值保護的行動裝置,可有效阻絕駭客攻擊。」
Keypasco多因素認證也已結合 FIDO 生物辨識,讓使用者可方便地進行登入程序,滿足客戶不同的需求。例如銀行的 APP,只要使用者同意 FIDO 生物辨識認證服務條款,就可以透過指紋或是臉部辨識進行登入,省去輸入密碼的麻煩。
台灣政府目前之網路安全策略聚焦於零信任架構(Zero Trust Architecture,ZTA),預計在三年內,分階段逐年導入零信任網路的三大核心機制:身分鑑別、設備鑑別,以及信任推斷。來毅 Keypasco 已經在去年通過資安院第一階段的身分鑑別驗證,目前正在進行第二階段設備鑑別驗證,並且在準備明年的信任推斷驗證,欲以全方位的零信任產品服務台灣廣大市場。
擁有全方位產品線的 Keypasco 產品目前已提供服務給金融、政府、遊戲、各型上市櫃公司等超過 10 個產業;而對於製造業的供應鏈安全,更是需要建構零信任網路安全的環境,Keypasco搭配獨特設備專利驗證,不僅強化供應鏈身分驗證的信任度,更符合SEMI E187合規標準,讓供應鏈中的所有廠商安全不打折。
全景軟體:透過設備憑證管理與信任根應用,建構零信任網路場域
目前大部分公司仍保留著傳統的資安觀念,使用防火牆將網路區分為外網及公司內網,對於外網連線有層層的防護關卡,但對公司內網設備網路的連線卻少有保護機制,而使用MAC位址管理設備連線的白名單是最廣泛運用的內網防護方式,這將面臨兩大問題:一是設備汰舊換新,管理不易;二是 MAC 位址容易遭到竄改,設備安全控管有漏洞。
這些問題,可以通過零信任網路架構進行改善。全景軟體邱志成資深顧問說明:「所謂的零信任網路架構,是以四大核心機制構成,包含人員身分鑑別 (如雙因子認證)、設備鑑別 (如晶片 TPM 信任根之識別方法)、設備端點威脅偵測及防護 (如設備異常行為偵測及設備健康度管理平台),以及網路傳輸安全 (如雙向認證及 TLS 傳輸安全加密通道)。」
而在一個零信任的網路架構下,應該要同時整合 Microsoft AD 及 Radius 存取;使用 TPM 管理設備密鑰及憑證;任何設備連網存取永不信任且必須驗證。
所謂的 TPM 信任根,是可以強化設備安全的機制。邱志成資深顧問解釋:「TPM 是一種與使用硬體晶片安全性有關的技術。晶片內部儲存了密鑰,加密、解密作業在 TPM 晶片內部完成, 因此很難竊取。設備認證、網路連線 VPN 登入等會使用這項功能,確保設備合法性。」
以半導體場域為例,可以使用設備安全晶片儲存保護密鑰,當作設備信任根,密鑰無法被複製、竊取或破解。而此設備具有唯一設備憑證,可當作設備鑑別身分認證的依據,結合安全晶片使用,更可實現設備身分的不可否認性。此外,設備憑證管理包含憑證申請、撤銷、更新、查詢、下載及同步等功能,有效管理設備的合法性。還可整合既有系統 Microsoft AD、CA 及 Radius Server 權限存取功能,相容於現有環境,導入快速而且變動小。
而以 OT 場域半導體設備來說,更可以利用安全晶片與設備憑證,提升安全性。邱志成資深顧問說明:「針對半導體設備端點保護,可以進行設備身分識別與控制存取管理,同時在設備加裝安全晶片保護密鑰。另一方面,針對半導體設備網路安全,則可利用 TLS 傳輸網路加密安全通道。」
最後,邱志成資深顧問也針對 SEMI E187 的設備安全提升作出說明:「現在我們要追求的是,設備在設計時就把資安導入,而不是等到設備生產出來,才來增加安全機制,如此就不符合零信任的機制了。」
除了8場資安主題演講,SECPAAS資安館也安排了3場資安小聚講座,請看T客邦另一篇文章的報導:SECPAAS資安館「資安小聚」講座精華:快速掌握供應鏈資安重要議題與解決之道。
為了推動產業資安與資安產業,在產業界導入資安的過程中,由數位產業署支持的 SECPAAS 資安整合服務平台扮演協助推動的角色,為資安廠商找到適合的應用場域,也為需要資安的企業帶來適合的解決方案,前述8家上台分享的資安廠商,他們的產品與服務都已上架到SECPAAS網站,想了解更多SECPAAS提供的服務與案例,可進入SECPAAS網站探索。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!