半导体产业对台湾及全球的重要性与日俱增,SEMI国际半导体产业协会为助力产业提升资安防御力,持续推进SEMI?E187半导体设备资安国际标准普及化,继发布SEMI?E187 checklist(SEMI E187标准基本实施检核表)及半导体资安风险评级服务後,再推出「半导体制造环境资讯网路安全叁考架构(Cybersecurity Reference Architecture for Semiconductor Manufacturing Environment)」,提供半导体供应链对制造环境更明确的资安架构叁考规范。
SEMI全球行销长暨台湾区总裁曹世纶指出:「随着资讯科技的进步,半导体制造业纷纷加速数位转型的脚步,导入自动化科技、大数据分析、人工智慧、物联网等智慧解决方案,取代传统的基础设施与类比控制系统,资讯科技(IT)、营运科技(OT)与云端的数据整合日益重要,但资安防护的难度有增无减,SEMI台湾半导体资安委员会持续推进SEMI?E187标准完备性,对於全球半导体供应链之产业资安防护带来极大贡献。」
SEMI台湾半导体资安委员会主席暨台积电企业资讯安全处长屠震表示:「半导体产业过去缺乏一致性的资安标准,或因机台老旧而无法更新,使得相关设备与节点暴露在高风险环境之下,无论是供应商、员工或承包商都可能成为资安破囗,动辄影响营运、造成财务损失或伤害品牌信誉与合作关系;『半导体制造环境资讯网路安全叁考架构』提出更具结构化的网路安全设计,不仅有助於了解工厂内所有网路资产的状况,也能洞察这些资产及其在网路中的通讯状况,可保护设备免受恶意软体带来的各种威胁。」
横跨IT、OT与工控等环节 全面提升厂房资安防护力
随着工业4.0、数位科技的兴起,让IT与OT走向互联,愈来愈多的系统、资产、人员和机器相互连接,虽然大幅增加生产力,却也让网路攻击的风险呈指数级增加;尤其勒索软体与威胁技术持续进化,供应链攻击层出不穷,一旦供应链中的任何环节出现漏洞,很容易就成为恶意攻击或勒索软体的锁定目标。
根据趋势科技《预先防范风险:2023上半年资安总评》报告指出,今(23)年台湾上半年侦测到恶意连结达4,400万笔,高居全球第三,次於日本与美国。另Fortinet公布的《2023上半年全球资安威胁报告》也显示,2023年上半台湾遭受恶意威胁的数量急遽成长,平均每秒就有将近1.5万次攻击发生,高居亚太之冠,与2022年同期相比增加超过8成,且骇客正从随机入侵手法,转变成针对性的攻击,以追求经济利益的极大化。除勒索软体组织不断精进其攻击手法,生成式AI工具也大量运用於提高虚拟犯罪效率,同时利用常见的企业软体漏洞,并从资料加密转向资料窃取。
有监於此,SEMI携手SEMI台湾半导体资安委员会主席暨台积电企业资讯安全处长屠震及委员会第四工作小组组长睿控网安刘荣太执行长及国立阳明交通大学谢续平讲座教授带领委员会特别提出「半导体制造环境资讯网路安全叁考架构」,针对半导体制造环境定义出一套通用且最低限度的安全要求,包括电脑作业系统规范、网路安全、端点保护、资讯安全监控等四大层面,并采用业界熟悉的普渡模型(Purdue Model),涵盖第零层到第五层的IT、OT与工控场域,逐一提出工具设计与组态、资产库存管控、网路与应用整合工具、漏洞管理与修补管理、近端与远端接取、安全资料交换、防御侦测与回应等叁考架构,企业资安管理者可藉此妥善评估基础资产应用、相关风险以及如何针对这些问题制订网路存取策略或补救措施。
由台湾业界制订的第一个半导体资安国际标准SEMI E187已有均豪精密与东捷科技获得首批SEMI E187半导体设备资安合格性证书(Verification of Conformity,VoC)。另於SEMI平台上推出半导体资安风险评级服务,进一步推出365天全方面防护方案,引进第三方风险评分和风险态势服务,协助厂商监控供应商资安态势,并导入Panorays第三方网域扫描服务技术,进一步提升安全防护机制。半导体资安风险评级服务也提供由SEMI半导体资安委员第三工作小组台积电张启煌资讯技术安全专案部经理及CISCO洪志仁资深伙伴信息技术协理带领SEMI半导体资安委员量身打造的半导体产业别通用问卷,为产业提供业界样态且增加产业资安评估效率。
近期SEMI半导体资安委员会由第一工作小组组长工研院卓传育组长发布的SEMI E187 Checklist(SEMI E187标准基本实施检核表),其中包括12项重点检查内容,例如在作业系统方面,更新版本至少要在12个月内有效、保持最新的安全修补,网路方面要提供HTTPS、SFTP、SSH的安全协定,终端保护要有弱点扫描、恶意软体监控等功能、机台要有接取控制的设定,安全监测需有事件记录档完整纪录,并至少保存一个月等,透过上述标准化的检核程序,让厂商一同应对诡谲多变的资安威胁,全面强化资安防护能量。
随着台湾半导体业界对资安意识的逐步提升及落地实践,SEMI建议供应链应将SEMI E187列为采购规格,并鼓励更多半导体设备厂取得资安合格性证书,加速提升厂房整体资安防护水平,同时也计划在2024年将相关叁考规范与认证机制,推向全世界的半导体上下游夥伴,以期共同打造坚韧的资安联防堡垒!