資安防禦四大面向 全面啟動智慧製造資安防禦 智慧應用 影音
D Book
繁體版 简体版
評估申請
快捷顧問
登入
236
台灣帆軟
ST Microsite
熱門關鍵字
#面板
#電動車
#半導體
#伺服器
#AI
#記憶體
#NB
#台積電
#AI PC
#驅動IC

資安防禦四大面向 全面啟動智慧製造資安防禦

  • DIGITIMES企劃DIGITIMES企劃

2018年8月,台積電爆發機台中毒事件可以說是一個警鐘,敲響了很多工廠管理人員以往沒有注意到的重要一環。但資安標準非常多,從著重於管理面的ISO 27001、大多應用於政府單位的NIST CSF,一直到針對物聯網及工業控制設計的IEC 62443等。如果要把這些標準,通通加諸於智慧製造場域上,不但使得企業主無所適從,且還可能造成管理困難以及導入成本過高等問題。

而這個問題,預料在近期將會有比較好的解答。在台灣半導體業界歷經三年的努力與推動之下,預期在今(2021)年12月,發布SEMI新標準,即是 - SEMI晶圓設備資安標準(Fab & Equipment Security Standards)。這個標準可以說是第一個完全針對智慧製造領域所制訂的資訊安全標準,相信在正式發布後,未來不但可以成為生產設備的資安設計指引,在企業採購方面,也能以此作為採購標的的標準要求。

作業系統安全要求

「工廠作業環境有其特殊性,熟悉IT環境的人可能難以想像。」銘異科技自動化事業部經理姚正偉表示。在一些量產很久的設備上,Windows XP還算是很常見的作業系統,而對一般IT環境來說,Windows XP早就是幾代以前就該淘汰的作業系統。這邊就衍生一個問題,該怎麼防護軟體商都已經不支援的作業系統呢?

「最主流的作法,都是透過網路的防護來達成」姚正偉表示。若在系統上直接增加防護機制,在這樣運作很久的系統上,都會有很多不可預期的風險。再加上如果設備一旦停機,對生產線來說,是不可接受的。所以目前主流的作法都是在網路端來著手。舉例來說,在網路端擋掉所有非必要的通訊協定或服務,並將這些設備以獨立的虛擬網路(Virtual LAN)隔離,若真的需要連線,中間也可增加一台權限控管主機來過濾所有網路流量等等。

網路安全要求

對網路安全的要求,幾乎是可以做到永無止盡的,但在SEMI規範中,對網路安全的要求則比較務實可行。主要圍繞在幾個主題中,包含關閉或避免使用高風險的連接埠、使用入侵偵測機制、管理好設備的配置、文檔管理、設備的識別與認證以及落實系統弱點掃描等。

「透過導入AT&T的威脅情資,我們可以做到即時多重的防禦」竣盟科技總經理鄭加海表示。竣盟科技以情資驅動的概念,開發出特別針對智慧製造的資安防護解決方案—Billows Security Lab,這其中仰賴的就是即時且大量的資安情資更新。

透過參與聯盟成員覆蓋亞太,歐洲,中東和美洲等60多個國家的網路安全聯盟,竣盟科技能在平均15分鐘左右的時間,即時更新全球各地的資安威脅情資,並以這些最新的情資即時掃描在網路上所流通的封包,確保沒有惡意攻擊特徵在其中流竄。更能針對已知的系統漏洞進行定期的掃描,並提供修補建議。

Billows Security Lab提供多重資安防禦機制。竣盟科技

Billows Security Lab提供多重資安防禦機制。竣盟科技

端點保護要求

除了網路安全防護,在關鍵設備上進行端點加強保護,是強化資安縱深不可忽略的一個環節,但在工廠這樣特殊的場域上,加強端點防護並不容易。「CODOMO的端點安全,可以向下支援到Windows XP SP2的系統環境」台灣科摩多資安顧問余彩武表示,這是CODOMO與其他端點防護最大的優勢之一。

「關鍵就在,端點上並非使用特徵比對的方式來進行防護」余彩武強調,在端點上,若要以特徵比對的方式進行防護,不但會耗費大量資源,也無法有效的防護未知或是零時差攻擊(Zero-Day Attack)。因此,CODOMO採用特殊的程式管理機制,在系統環境剛建立時,即蒐集可運行的已知程式,並放入「白名單」當中,未來只要有任何不在白名單範圍中的程式,只會有兩個情況,若是已知的惡意程式,則即刻阻擋執行;若是非已知的惡意程式,則僅允許在模擬出來的沙箱(Containment)中執行,直到確保此程式是安全的為止。

CODOMO端點保護的程式控制邏輯。台灣科摩多

CODOMO端點保護的程式控制邏輯。台灣科摩多

透過這樣嚴格的程式權限管理與特殊的沙箱(Containment)環境,達到使用最少資源卻能保護端點的重要任務。「CODOMO以此方式,已在過去WannaCry攻擊肆虐全球時,成功防護超過一億台設備」余彩武表示。

安全監控要求

資訊安全需要持續性的監控與管理,才能穩定地將風險控制到最低。但資安事件的判讀與反應不僅需要人力、時間,更需要專業知識,「專業的資安監控中心再搭配流程自動化的軟體服務,才能最到最完善的監控服務」銘異科技經理姚正偉強調。在SEMI資安草案條文的要求中,著重於設備日誌與設備狀態的可視化管理,讓管理人員可快速檢視廠內所有設備是否存在資安風險,甚至是預防設備日誌被修改等等。

但更重要的是,具備自動智慧化分析的安全資訊與事件管理系統(Security Information and Event Management;SIEM)。透過SIEM系統的關連性分析,將廠內上百台甚至上千台的設備紀錄與資安事件進行分析比對,能協助管理人員快速發現潛在的資安風險。

相信SEMI晶圓設備資安標準在正式發表後,不但將影響半導體產業的設備開發與採購,以過往的經驗來看,SEMI標準制訂後也會逐漸擴大到PCB、光電甚至是電子零件製造業的設備開發。讓過去在設備開發業不受重視的資安防禦,成為未來所有設備開發必須考量的重要環節之一。


關鍵字
加入已選取到「關鍵字追蹤」 什麼是「關鍵字追蹤」