產官學研聯手發力 助半導體廠與設備商導入SEMI E187標準
以往工廠的產線設備鮮少遭受惡意程式攻擊,惟近年情勢逆轉,OT資安事件越演越烈;尤其半導體等先進製造場域,更淪為駭客覬覦標的。為此SEMI(國際半導體產業協會)台灣於2021年6月成立資安委員會,更在2022年1月領先全球發布首個半導體設備資安標準SEMI E187。
日前經濟部工業局偕同SEMI(國際半導體產業協會)、工業技術研究院、睿控網安(TXOne Networks),共同舉辦「打造安全可信賴的半導體供應鏈-- SEMI E187設備資安標準導入參考指南」線上研討會,期望透過跨界專家共享經驗與戰略,協助半導體業者與設備商落實E187標準,建構安全可信賴供應鏈。
梳理E187規範重點,部署相關解決方案
工研院資通所副所長黃維中致詞表示,近年台灣半導體產業被賦予「護國神山」稱譽,亦受全球各國政府與產業高度重視,故亟需結合資安堡壘加以保障。
工研院資通所組長卓傳育指出,原本各界設想的智慧製造定義,不外乎「程式化(自動化)+連網控制+ERP整合」;但歷經2018年半導體大廠的產線中毒事件,驅使資安風險控管意識攀高,成為半導體推動智慧製造過程中不可或缺的要素。
SEMI E187標準蘊含4個重點,首先是OS,確保廠商在設計產品時採用尚未Out of Date的作業系統。其次是網路,關閉不需使用的通訊協定,僅支援具加密保護的協定。再者為端點防護,原廠應事先對防毒軟體、應用程式白名單等工具實施驗證,確認支援無虞,再加入存取控制功能。最後為監測,須支援安全日誌管理功能。
TXOne首席解決方案架構師劉大川,基於整體安全框架的思維,分享如何在導入過程有效落地。他延續SEMI E187關注的各項重點,點出TXOne已提供完善方案。例如EdgeIPS,確保僅有對的人事時地物、方能正確存取主機與資源;提供StellarProtect端點防護機制、StellarEnforce白名單防護機制,可抵禦勒索病毒攻擊中常見的無檔案、Script Type等攻擊;另提供USB形式的「Trend Micro Portable Security 3」(TMPS3)方案,可於機台入廠階段執行合規檢查。
善用政策資源與工具,有效加速導入進程
TXOne業務營運總監李育全主持,並由工研院資通所副所長黃維中、國立陽明交通大學講座教授謝續平、台達電子技術資深副理倪萬昇、韋萊韜悅企業風險管理與經紀服務資深協理吳明璋共同參與的「供應鏈資安專家座談」,堪稱本次活動的壓軸議程。
李育全說,過去兩、三年間藉由半導體業及資安產業的合作,共同完成E187國際標準的制定,及最佳實務的研究,值得向各界分享其中成果。
謝續平指出,面對近年如SolarWinds等供應鏈資安事件,凸顯單一公司不足以解決資安威脅,需結合產官學研不同力量,合力強化產業鏈資安。E187算是基本要求,蘊含「先求有再求好」意味,並非強制要求大家一定要做到什麼,有賴需求者和供應商之間自己決定要達到何等程度。他強調標準只談基本要求,接下來的「指引」才是重點;故SEMI資安委員會正著手訂定指引,期望從參考架構、教育訓練等各個角度來努力,將供應鏈風險降到最低。
吳明璋表示,經常遇到廠商訴苦,不同客戶要求符合不同資安標準,不知如何是好。他認為不管從Top Down或Bottom Up來看待此事,各有優缺點,建議企業應考量長遠發展,於兩種模式間求取平衡,確保每年仍可按自己的規畫步調走,也能符合各個客戶需求,進而達到公司資安一致性成效。
倪萬昇說,E187標準係以High Level運行,難免讓有些人不知如何著手執行,故SEMI從2022年初藉由舉辦一系列論壇、工作坊、教育訓練,也同步釋出一些最佳實踐,希望讓半導體產業成員都理解這套標準,循序漸進提高供應鏈中不同利害關係人的資安成熟度。
黃維中表示,他參與國際標準制定逾20年經驗,未曾見過如E187考量面向如此完整之例。大家關切有何政府資源可協助遵循E187,包括有一般補助性計畫、先期性PoC,還有諸如研發投抵等好的政策工具可供利用;而大家亦可運用SECPAAS資安整合服務平台,借助其中專門團隊協助進行評估。更重要的,工業局擁有堅強的技術、推廣及各面向的團隊,可向資安廠商或有需求的產業提供第一線服務。總之希望大家善用各種工具與資源,齊心協力把資安做到最好。
TXOne 睿控網安也獨家釋出 「SEMI E187 標準導入參考指南 資產生命週期安全觀點」,協助企業了解如何運用OT零信任方法簡化合規,並實現兼具高生產力與高效的資安防禦。點此即刻下載。