推動資安標準 為工控領域灌輸防禦基本功 智慧應用 影音
蔡司
參數科技

推動資安標準 為工控領域灌輸防禦基本功

  • DIGITIMES企劃

工業技術研究院資訊與通訊研究所副組長卓傳育。
工業技術研究院資訊與通訊研究所副組長卓傳育。

儘管人們資安意識不斷升高,但資安事件仍層出不窮,譬如不少知名企業或政府單位發生資料外洩事件、金融機構屢遭重大網路攻擊,加上諸如Miori(Mirai進化版)、CPU漏洞攻擊、WannaCry...等等影響全球的重大威脅不絕於耳;可以肯定,展望今後大家將繼續與威脅共存。

工業技術研究院資訊與通訊研究所副組長卓傳育指出,進入物聯網世代,安全威脅的攻擊目標,從人擴散到機器,至於手段則從惡意程式滲透、詐騙,轉變為弱點探索與攻擊。但對於智慧製造領域,其實最需要關注的,不是新威脅、而是舊威脅,以眾所矚目的晶圓廠產線中毒事件為例,禍首竟是兩年前流行的WannaCry。

不禁令人納悶,各界早已修補過一輪,為何晶圓廠防不了?癥結在於工控是一個不喜歡Patching的世界,原因包括工廠以追求可用、穩定、生產力為重,資安不在優先順位;有些老舊設備的作業系統早已EOS;工廠擔心上Patch需停機而影響產能,索性不做修補、以實體隔離為主。但由於智慧化,讓實體隔離難以為繼,導致產線淪陷。

美國國家網路安全和通訊整合中心(NCCIC)分析,談及工控領域資安議題,38%可靠應用程式白名單解決,其次29%可因正確的設定、Patch管理而避免發生;顯見「預防勝於治療」,只要有標準規範可供依循,把基本功做到位,便可望杜絕許多威脅。

有鑑於此,國際半導體產業設備與材料協會(SEMI)台灣分會於去(2018)年11月成立「晶圓廠暨設備資安工作小組」(Task Force),旨在催生相關標準,幫助晶圓廠解決產線資安問題,此案已獲國際SEMI會員投票同意,正式授予「SNARF 6506」案號。

卓傳育說,未來標準一旦出爐,對所有晶圓設備供應商將產生約束力,這些業者若想繼續做晶圓廠的生意,即需遵守遊戲規則、確保成為合格供應商,做到採用具有Long Term Support的OS版本、關閉諸如TCP 445等高風險連接埠、提供應用程式白名單管理機制,及提供API讓機台安全狀態資訊得以對外傳送等等。