致力發展半導體營運場域資安政策與措施的睿控網安(TXOne Networks),積極參與由台灣產業主導的半導體資安委員會(SCCS)及半導體製造資安聯盟(SMCC),期能解決供應鏈資安問題。
睿控網安執行長劉榮太說明,台灣半導體資安委員會成立主要目的是加強半導體產業的網路安全防護,並制定應對資安挑戰的最佳實踐與標準,例如SEMI E187、E188。該委員會的角色是在全球資安標準的討論中引領先行,提出指導原則,而SMCC則進一步將這些原則轉化為具體的執行細則,讓產業內的各界成員得以採用並協同合作,推動供應鏈資安的全面提升。
此外,SMCC也正在整合全球適用於半導體製造的法規,包括NIST的網路安全框架(Cybersecurity Framework,CSF)2.0於2024年初發布,這一新版框架將成為半導體產業接軌全球資安法規的基礎。SMCC將根據這個新框架,開發適用於半導體製造的網路安全社群框架。
同時,SMCC也在積極推進與歐盟的資安法規整合。歐洲的資安法規以其嚴謹著稱,尤其是2023年頒布的NIS2法規和網路韌性法案(CRA)。NIS2著重於保護關鍵基礎設施,劉榮太認為,半導體產業應該被納入NIS2的管理範疇。另一方面,CRA則專注於提高數位產品和服務的網路安全性,這一法規可以對應SEMI E187標準,而NIS2則與OT(營運技術)相關的資安指南標準相符。
SMCC目前正在致力於將半導體產業的資安標準,與歐美的資安框架進一步整合,尋找更多的交集,從而促進全球半導體產業資安標準的統一與協同合作。這樣的整合不僅有助於提升全球半導體供應鏈的資安防護,還能為產業的長遠發展打下堅實基礎。
供應鏈協同發展提高資安素養
不論是半導體製造資安聯盟(SMCC)還是台灣的半導體資安委員會,供應鏈資安、產品資安以及工控資安其實是相互交錯的。這些領域並非獨立運作,而是共同構成了整體供應鏈資安的防護網絡。供應商提供的產品若未能符合資安標準,將會直接影響整個供應鏈和工控系統的安全。
舉例來說,供應鏈中的設備供應商若未做好其產品的資安防護,那麼當這些設備運行於企業場域時,該場域的工控系統安全便會受到威脅。這樣的情況不僅損害工控資安,也進一步削弱了供應鏈的整體資安防護能力。因此,產品資安、工控資安與供應鏈資安密不可分,必須協同發展。
劉榮太進一步說明,企業內部的人員、流程和技術,皆必須與時俱進以因應現代化應用場景可能衍生的風險。其中,資安人力短缺可說是全球性的挑戰,尤其在工控領域。雖然台灣自2016年提出「資安即國安」的政策後,已經培養了許多資安人才,但全球範圍內,尤其是美國,資安人才缺口高達近400萬人,同時具備資安和工控領域知識的人才更是難尋。
過去,由於工控場域被認為是封閉環境,因此並未考量資安相關防護措施。例如,機台韌體的更新過去常使用隨身碟來傳遞更新檔案,直接在機台上執行,一旦隨身碟潛藏惡意程式,恐影響機台正常運行。如今的操作流程是在進行韌體更新前,隨身碟必須先在測試電腦上進行掃描,確認無病毒後,貼上標示安全的條碼,才可被攜帶進入營運現場。這樣的控管流程是在工控資安問題連環爆發後逐漸被定義用以降低風險。
工控資安涉及到機台營運的各種細節,這些流程必須先行定義,才能運用技術工具來協助實作。睿控網安專注於開發針對工控資安需求的技術,藉由深入了解控管流程的限制,設計出能夠協助企業落實資安管控的解決方案。不僅只是幫助管理工控資安風險,還能確保營運場域的穩定運行,進一步鞏固整體供應鏈的安全性。
增設檢查哨阻斷工作流程衍生風險
近幾年最為活躍的勒索軟體組織LockBit,儘管在2024年初,組織的核心成員已被包括英國國家調查局(NCA)和美國聯邦調查局(FBI)在內,共計約11個國家執法機構聯手逮捕,但該組織的威脅並未完全消失。劉榮太表示,睿控網安研究人員在2024年上半年的追蹤發現,LockBit仍佔據了全球勒索軟體攻擊量的18%,顯示出駭客組織的殘餘勢力仍具威脅。此外,根據睿控網安的統計,2024年上半年全球總共發生了約2,300起勒索軟體攻擊事件,最常被攻擊的前三大產業分別是政府機構、醫療院所和製造業,而其中超過4成的攻擊涉及OT場域。
從勒索軟體產業鏈來看,新興的「初始入侵掮客(Initial Access Broker,IAB)」正在崛起,這些IAB專門銷售未經授權的存取漏洞,幫助攻擊者縮短攻擊的「第一哩路」,提高滲透入侵目標系統的成功率。這種垂直分工的模式日趨多元,使得攻擊手段愈來愈專業化和高效化,可說是全球資安威脅無法被遏制的關鍵因素。
面對當前的外部威脅環境,企業必須跳脫單一的資安防護觀點,採用平台化的資安解決方案,以便從更全面的角度審視潛在威脅,並從中獲得更具洞見的防禦策略。劉榮太表示,保護營運安全是OT資安的核心理念。因此,睿控網安提供的解決方案橫跨資產管理,涵蓋從設備引進到產品生命週期的每個階段。以SEMI E187標準為例,該標準強調工廠內應設有檢測機制,無論是設備首次進入工廠時,還是在產品維修期間,都必須進行資安檢查。這是因為維修時,廠商可能攜帶不安全的行動硬碟或隨身碟進入工廠,若沒有適當的檢測與防護,便有可能引入惡意軟體或勒索軟體,進而威脅營運的安全性。
睿控網安最新發布Safe Port解決方案,專門為隨身碟、隨身硬碟的應用場景設計安全檢查站,主要功能在於過濾惡意程式,確保在儲存媒介被攜帶進入到OT場域之前,已經過全面的安全掃描,藉此控管營運現場的資安風險。
Safe Port也能集中收集來自TXOne Portable Inspector的日誌,讓審查流程更為簡化。工控現場的操作員無需具備專業知識,亦可完成設備安全查核工作。同時,Safe Port亦可搭配Element One,讓預防性及例行的安全措施得以在不增加操作負擔的情況下順利實施。
日前資安業者CrowdStrike提供的EDR(端點偵測與回應)產品更新導致全球多處電腦當機,劉榮太觀察,這起事故引發了企業重新檢視其端點防護解決方案的可靠性。他進一步說明,此事凸顯出安全性與可用性之間的平衡是每個企業營運場域必須考量的核心原則。這正是睿控網安技術發展理念,也就是提供能夠在安全與營運效率之間取得最佳平衡的資安防護。