TXOne偕同半導體護國群山 落實半導體供應鏈的資安韌性

由右至左為IDC台灣總經理江芳韻、SEMI資安委員會委員 暨 工研院資通訊研究所組長卓傳育博士、趨勢科技台灣暨香港區總經理洪偉淦、TXOne Networks（睿控網安）執行長劉榮太博士、SEMI資安委員會主席暨台積電資訊安全處長屠震博士、勤業眾信聯合會計師事務所風險諮詢服務執行副總經理簡宏偉、均豪精密 總經理室兼資訊處資深處長劉中平、TXOne Networks（睿控網安）大中華區業務副總裁李育全。TXOne

近年半導體等高科技製造業積極推動數位轉型，大量借助IoT、AI/ML等數位科技，持續加速生產流程、創造高價值。但企業在投入轉型與創新的同時，也導致資安防禦邊界漸趨模糊，給予駭客可乘之機。顯見作為全球半導體供應鏈核心的台灣護國群山，正面臨嚴峻資安挑戰。

鑒於此，全球工控資安領導廠商TXOne（睿控網安）於日前舉辦「 TXOne半導體供應鏈資安論壇-資安致能 半導體供應鏈的韌性世代」研討會，藉由網路、端點到物聯網裝置的資安營運與防護實務，剖析如何善用各項OT資安方案，守護半導體製造的每一個環節。

SEMI國際半導體資安委員會委員暨工研院資訊與通訊研究所組長卓傳育博士表示，從2019年開始，他與 SEMI同仁、台積電聯手催生半導體設備資安標準 SEMI E187，並於2022年1月正式發佈。他強調SEMI 187 只是起點，因半導體廠不能僅顧好自身產線安全，需放眼整體供應鏈資安；故SEMI Cybersecurity Committee積極探討如何評估供應鏈資安成熟度、如何管理整個半導體生產的生命週期，且亟思將供應鏈安全概念擴散到其他產業。

優質OT資安方案，應避免影響機台與使用者

SEMI Taiwan在兩年前成立Cybersecurity Committee，首要任務是推出資安風險評估服務，幫助上下游供應商輕易評估自身安全態勢。其次更重要的，Cybersecurity Committee將 提 出E187 Assurance Validation，以驗證廠商是否確實符合E187，另將發表半導體資安參考架構，舉凡如何設定機台，如何整合機台、網路和應用程式，如何保護機台資料…等，種種指引都包含在內。

SEMI國際半導體資安委員會主席暨台積電企業資訊安全處長屠震博士指出，SEMI 187為SEMI史上第一個由台灣發起的半導體資安標準，從標準草案、標準發布、建立合規工具與最佳實務，到促成全球第一個第三方驗證成果，台灣可說是一直走在全球半導體供應鏈資安的領導位置。

其次，他認為好的資安方案須具備兩大特質，要能兼顧的安全與生產，或可稱為「Double Zeros」:「zero impact」及「zero feel」，其一不會對生產機台造成影響，其二要讓使用者無感。基礎資安觀念若能落實，大部分的資安事件都能被事先預防。但没有一種萬能的技術或解決方案可以保護組織，健全的資安實踐和管理心態將是關鍵。

落實CPSDR機制，阻絕OT勒索攻擊

TXOne Networks 執行長劉榮太博士，以 CPSDR（Cyber-Physical System Detection and Response） 為主題進行演說，其中的「DR」便是大家熟知的Detection and Response，主要針對機台進行安全偵測與回應。

他表示環顧工控資安，像是半導體產業甚或整個高科技製造業，都是駭客團體的覬覦目標，因駭客根本不必研究SCADA或控制器，只需加密工作站電腦的Windows作業系統，就可迫使產線停擺、釀成巨大損失，以此要脅企業支付贖金。

因此CPSDR想要解決的便是勒索議題，利用機台的偵測與回應機制來阻絕與防禦勒索攻擊。他提醒大家，經調查高達94%企業的IT一旦遭遇勒索病毒襲擊，OT也會跟著淪陷，即便在IT與OT中間架設防火牆，仍無法將勒索病毒擋在牆外，足見駭客找出縫隙鑽進 OT的能力，超乎大家的想像。

劉榮太指出，SEMI Cybersecurity Committee 推出的安全參考架構，主要精神就是防護機台一生，從初期機台設計的 Secure by Design，到機台進廠、設定、資料存取…等全程皆受保護。CPSDR 呼應此概念，不僅從 Endpoint、網路實施多重保護，如 TXOne 還可替機台建立指紋，以利即時識別異常行為。

藉由專家精闢見解，勾勒工控資安最佳藍圖
本次論壇另邀請 IDC 亞太半導體研究負責人暨 IDC 台灣總經理江芳韻、勤業眾信聯合會計師事務所風險諮詢服務執行副總經理簡宏偉、均豪精密總經理室兼資訊處資深處長劉中平、TXOne 全球商業賦能暨大中華區業務部副總裁李育全等多位專家，分享精闢見解。

江芳韻表示，儘管大環境景氣疲弱，導致半導體產業短期發展受影響，但在車用電子、AI、智慧工廠等應用帶動下，今年下半年到明年上半年仍有望回溫。以長期來看，除上述潛在關鍵應用外，亦可將技術角度、地緣政治促動的投資角度，一併列為半導體產業觀察指標。

簡宏偉強調，半導體業應跳脫技術、管理層面，從治理角度來看待資安議題， 並以SEMI E187、IEC 62443 為遵循標準。企業在導入OT安全時應留意四件事，分別是建立資安文化、建立安全防護、保護關鍵系統、制定業務持續計畫；切記業務持續計畫不是DR計畫，企業應先盤點風險，再建立營運持續管理機制，更重要的必須執行演練，確認能否成功復原。

劉中平處長分享均豪精密推動E187的經驗。他指出有關E187合規導入，具體做法就是落實作業系統安全、網路安全、端點安全及資安監控，共計12項要求；為此均豪在資安夥伴華電聯網的協助下，逐一達成12點要求，並配合第三方稽核公司BUREAU VERITAS完成認證程序；同時間均豪善用TXOne的OT資安方案，有效滿足機台產品的E187符規與認證。

擔任壓軸講師的李育全表示，談到半導體資安治理，內含幾個重點，包含設備機台出貨時須產製無毒證明，控管機台之間檔案傳輸與資料更新、落實新舊機台的端點防護。針對以上諸多問題，採用TXOne Portable Inspector都能迎刃而解。

除了供應鍊的資安防護之外，在進入場域前可以針對機台設備採取更一步實質保護來確完整性，機台部署 TXOne Stellar的最大優點是能夠以單一Agent安裝並且能夠在工控專用的防毒軟體與白名單軟體之間做無縫切換，做到機台全生命週期的端點防護。另外它內建工控軟體資料庫，可智慧辨識大量工控軟體，並結合機器學習能力，真正達到低耗能、零干擾的端點防護，甚至進一步連動OT網路，順勢實現CPSDR。

此外TXOne Edge為一套深入底層的工控網路防護設備，有非常多樣的Form Factor，從小於手機、到96埠的碩大規格兼有之。不論Stellar、Edge 或 Portable Inspector，TXOne都基於OT原生需求而設計，擅於在避免影響OT場域營運之下，達到真正的保護效果。