隨著國際對上游製造的資安要求升級,身為全球供應鏈重鎮的臺灣,自然也必須積極應對資訊安全議題。SEMI 台灣半導體資安委員會由台積電領銜,攜手半導體產業供應鏈,共同提升產業的資安防護力。
採訪/林振輝、施鑫澤· 文/林裕洋
在獲得龐大經濟利益前提下,駭客組織在持續研發新型態攻擊手法之外,也將攻擊目標鎖定影響層面更大關鍵基礎設施,期盼藉此取得更高額的贖金。過去幾年,全球各地不時傳出政府、製造業遭受攻擊的案例,如日本的汽車產業遭受駭客攻擊後,生產線停擺數天以上,美國最大油管業者被勒索軟體綁架後,嚴重影響民眾日常生活,美國政府亦被迫宣布進入緊急狀態。
[ 推薦文章:生成式 AI 將對 DevSecOps 產生重大影響 ]
在全球企業頻頻爆發資安事件下,臺灣自然也不能免於威脅。根據資安公司研究報告指出,勒索病毒是持續性的惡意威脅,不肖份子為提高獲利機會,此類威脅已逐漸演化為目標式勒索攻擊。而臺灣企業遭受攻擊占比接近 50%,其中又以高科技製造業為大宗,預測未來將擴及供應鏈攻擊,將使得受害層面擴大至供應鏈上下游。
SEMI 台灣半導體資安委員會主席暨台積電企業資訊安全處長屠震表示,目前新威脅/趨勢大致上可分成資料外洩、攻擊者跨雲端、地端、OT 和 IT 網路的橫向移動,而零信任(Zero Trust)策略則是因應前述威脅的最佳方案。根據研究報告指出,在高科技領域已有 22% 受訪企業採用零信任(Zero Trust)策略,或計劃在 2024 年前、以專案模式採用。在金融領域則有 33% 受訪企業已採用零信任安全策略,計劃在 2024 年之前採用,或以專案模式採用。
善用零信任架構 提升網路可視性
近幾年在網路邊界日益模糊下,訴求永不信任、時時驗證的零信任架構,已成為主流資安防護方案,然而也可以觀察到不少企業對此概念產生誤解。零信任的核心概念之一,在於網路安全始於可視性、終於可視性,所以可提供從封包到應用程式的可視性,而偵測、預防應該相互搭配,藉此達到保護敏感資料,對於保護公司商業機密、關鍵資產和防止資料外洩等非常重要。
屠震表示,傳統資安防護架構是將防火牆安裝在閘道端,將網路環境分成外部網路、內部網路等兩部分,對外部網路絕對不信任,內部網路則列為信任。但在目前網路環境複雜下,內部網路環境已非百分百安全,也凸顯出引進零信任架構的重要性。零信任架構中的保護面,涵蓋 DAAS(資料、資產、應用程式和服務)等層面,並透過網段閘道加強安全控制。此種存取控制是運用 Kipling 方法(5W1H),即基於 Who、What、When、Where、Why,以及 How(如何實施),如何實施,藉此確定哪些流量可通過微邊界,將未經授權的使用者和應用程式拒之門外,有效保護敏感資料。
[ 推薦文章:隱私 AI 發展應受重視 ]
在現今多雲、混合雲的趨勢下,企業的數位資產和用戶資料,可能存在雲端、邊際環境、物聯網、員工住家等任何地方,不光讓駭客入侵管道多元化,入侵之後更會透過橫向移動方式,進而感染更多裝置與應用服務。零信任架構最大優勢在於可部署於任何地方,確保整體網路架構的安全,且本身具備漏洞檢測功能,能針對既定規則攔截和管理傳輸中的網路封包,因此相較於傳統網路偵測工具相比,可更快地偵測漏洞並阻止橫向移動,達到防堵惡意程式入侵的目的。
整體而言,零信任網路架構具備提高可視性、阻止惡意軟體傳播、降低成本、資料意識、合規範圍需求縮小、阻止資料外洩、容易稽核、消除各單位之間的隔閡等,對於強化整體網路安全性和保護敏感資料,至關重要。
生成式 AI 浪潮來襲 資安工作不可輕忽
ChatGPT 問世之後在各領域展現出前所未有的強大能力,引爆一股生成式 AI 浪潮,眾多產業期盼藉此改善生產效率、提升競爭力,資安公司也藉此技術強化資安設備偵測惡意威脅的能力。當然,駭客亦借此技術開發新型態攻擊手法,藉此突破資安設備的偵測。根據 Gartner 預測報告指出,2026 年超過 80% 公司將使用 GenAI API 和模型,企業在相關的資安防護方面必須預先做好準備。
[ 推薦閱讀:AI 時代 網路安全角色的演變與招募重點 ]
「關於人工智慧和安全性部分需要考慮兩個主要問題,分別是人工智慧安全、安全的人工智慧。 前者涉及使用人工智慧透過檢測、物理安全和行為分析等方法來增強安全性。 」屠震解釋:「後者涉及確保人工智慧使用的安全性,包括保護資料、管理 API 整合和版權問題、防止資料外洩,以及解決潛在的不準確或虛構輸出。 另個重要的考慮因素,則是需要保護人工智慧模型本身。」
供應鏈攻擊手法興起 可躲避資安設備偵測
鑑於駭客攻擊事件頻傳,過去幾年企業投資在資安領域的預算也逐年增加,期盼透過持續添購各種資安設備打造聯防機制,杜絕新型態的攻擊。為此,駭客除了持續研發新攻擊手法之外,也開始尋找其他入侵管道,而軟體供應鏈攻擊則是近來興起的模式。根據 Gartner 公布研究報告指出,2025 年前全球將有 45% 組織淪為軟體供應鏈攻擊的對象。
如 2023 年俄羅斯、北韓等駭客組織採取的供應鏈攻擊手法,即利用 GitHub 平台散播內含惡意軟體的軟體包,並透過 NPM、PyPi 等信譽良好、粉絲眾多的平台公開發送病毒,以及破壞有漏洞的 TeamCity Server/Jenkins 等建置伺服器。駭客組織更藉由建立虛假 GitHub 帳號、多個虛假帳號相互搭配方式,提高惡意帳號的信譽。不光如此,駭客組織也透過加入其他合法團體作為貢獻者,以便在下一次軟體版本升級時植入後門程式,為日後發動攻擊留下後門管道。
屠震說,目前有超過 90% 企業都使用到 OpenSource 資源以縮短開發流程。目前軟體供應鏈攻擊手法正是在開源平台上傳被植入惡意程式的程式碼,開放讓任何人都可下載、使用,藉此作為社交工程攻擊的一部分。當開發人員使用 CI/CD 建置伺服器,並打包推送給客戶之後,即可能導致伺服器受到損害,並帶來前所未有的重大風險,這類威脅可說是防不勝防。
資安事件頻傳 資安意識不足為主因
半導體產業中各個環節存在的安全風險和威脅,最終可能會導致產品品質問題、知識產權盜竊、供應鏈中斷、或是其他嚴重後果。目前常見半導體供應鏈資安威脅非常多,首先是供應鏈攻擊,駭客通過入侵供應商系統或篡改供應鏈中的電子設計文件,植入後門、惡意軟體或間諜軟體。
其次則為偽造元件,即冒充正版元件的假冒品。這些偽造品可能有品質不佳、容易故障,甚至是含有惡意功能。第三種是設計文件盜竊,駭客可能會盜取半導體公司的設計文件,包括技術規格、原始設計圖、測試資料等,以獲取機密資訊、竊取知識產權。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
第四種半導體供應鏈資安威脅為物理攻擊,即透過竊取或修改硬體設備、物理介面或裝置,對半導體供應鏈實體設備進行攻擊,例如在晶片中植入後門或竊取機密資訊。第五種威脅為供應鏈中斷,如自然災害、政治衝突、貿易戰或其他因素等,均可能導致供應鏈中斷,進而對半導體生產和供應產生重大影響。最後一點則是人為錯誤或疏忽,內部員工或外部合作夥伴的疏忽、不當操作或誤操作也可能導致資安風險,例如洩露敏感資訊或造成設備損壞。
屠震指出,根據研究報告,2022 年超過 82% 資料外洩事件是由不安全或無意的員工行為造成,只有不到 1% 資料外洩事件源自於惡意員工的意圖,然而兩者對企業營運所造成的影響均是相同。人為因素是造成違規行為的重要原因,儘管大多數員工了解資訊安全重要性與和公司政策,但出於追求效率或便利等種種因素,最終仍然違反相關政策。因此,企業不僅要建立員工的資安意識,更需要找到能達成使用者「實際行為改變」的方法。建議企業可打造積極的組織文化,採用植根於使用者體驗(UX)和行為科學、以人為本的方法,來推動使用者行為改變。以台積電為例,企業目標是擁有「雙零」的良好安全解決方案,即對使用者零影響,對端點設備或生產零影響,同時達到提高生產力和安全性,而不是在兩者之間尋找平衡。
創造半導體資安的漣漪效應 助供應鏈夥伴降低資安風險
為應對前述各種資安威脅,半導體公司需要參考國際資安標準與框架,實施完善的資安措施,包括加密和身份認證技術、供應商審查和監控、物理安全措施、以及不斷更新的安全政策和程序。隨著國際間對上游製造的資安要求升級,身為全球供應鏈重鎮的台灣,自然也必須積極應對資訊安全議題。
以台積電為例,在資安管理上不僅建立嚴密的自我防護機制,更發揮對供應商的影響力,推動使用第三方資安風險檢測與符合國際標準的資安風險評估,透過量化的資安風險評分,讓供應商獲得可依循的指標、擬訂計畫改善資安防護。期盼以循序漸進的方式,推動供應鏈一層一層互相影響、帶起漣漪效應,逐步強化半導體產業鏈上、中、下游的資安防禦力,最終達成全面提升資安量能與供應鏈的資安韌性。
屠震說,半導體是高度分工的產業,不論是設計、製造、設備或材料等,都是透過供應鏈或是生態系統共同完成,所以提升供應商夥伴的資安防護力也是非常重要的一環。除此之外,台積電並透過資安電子報定期分享資安實務經驗與新知,若有收到業界重大資安訊息或威脅情資,台積公司也會立刻通知供應商相關訊息並提供實務經驗以協助供應商事先防範與降低風險。
四大工作重點著手 強化供應鏈防護力
為推動半導體產業、特別是供應鏈夥伴的資安能力提升。台積電於 2021 年 7 月與 SEMI 台灣合作成立半導體資安委員會,由屠震擔任主席,招募業界資安專家共同合作,以零信任概念推動資安解決方案,並從四大面向引領整體產業強化資訊安全。
委員會四大方針的第一項工作項目,是推廣半導體晶圓設備資安標準-SEMI E187,目前已制定 SEMI E187 晶圓設備資安標準的導入指南與基本實施檢核表,供半導體產業與相關供應鏈參考。第二項工作重點是資訊安全宣導與推廣,透過《SEMI台灣半導體資安電子報》分享資安訊息與全球資安風險,亦於「SEMICON Taiwan半導體資安高峰趨勢論壇」分享管理經驗。第三個工作重點是制定供應鏈資安評鑑機制,SEMI 資安評鑑是由 SEMI 台灣半導體資安委員會推出,集結台灣半導體上、下游各大廠資安部門專家經驗而成,搭配第三方安全態勢風險評分工具,形成一套完整的資安評量服務。藉此服務系統的導入,企業將能夠更即時、全面地掌握資安風險現況,進一步建構並強化資安體系。提供半導體產業有效率的進行多面向供應鏈安全態勢評估與跨公司評比。
SEMI台灣半導體資安委員會的第四項工作重點,是評估半導體產業主要資安風險,目前已制定製造環境資訊安全參考架構,將持續評估供應鏈共通風險並提出改善方案作為委員會未來執行重點。
屠震指出,期望透過全球 SEMI 企業成員之間合作,共同參與達到提高全球供應鏈安全。目前台積電已與 ASML、英特爾、應用材料等主要廠商,共同建立SEMI Semiconductor Manufacturing Cybersecurity Consortium(SMCC,半導體製造資安聯盟),許多 SEMI 台灣半導體資安委員會的主要成員也加入 SMCC,期盼透過共同半導體產業特定框架,評估整個供應鏈的網路安全強度,並採取措施更好地保護生態系統網路。
培育資安人才 有助降低資安事件衝擊
根據美國國會報告所示,大多數安全事件如果基本功做好,都可避免或將衝擊最小化。所以企業除持續擴大資安領域的投資之外,也應積極延攬各種資安人才。然而多數大學課程通常沒有教授基本管理概念和 IT 實務技能,以至於現今全球陷入資安人才不足的困境。根據國際資訊系統安全認證協會(ISC2)去年底最新統計,全球資安人才缺口高達 400 萬人。
[ 推薦閱讀:生成式 AI 應用在軟體開發領域 ]
長期重視資安工作的台積電,非常重視資安人才的培育,透過補助鼓勵同仁進行專業訓練,至今已取得 150 張以上專業證照,其中包含 20 張以上的 CISSP(Certified Information Systems Security Professional)。考量到企業若要推動永續安全韌性,不僅需要最新的技術,還需要經過培訓、具有實際經驗的安全管理專業人員。身為 SEMI 台灣半導體資安委員會主席的屠震為支持半導體資安人才培育,特別編寫《半導體資安系列課程》。
屠震表示,透過系列課程提出實務經驗與解決方案的關鍵,旨在於協助半導體供應鏈的中小型供應商,建構符合自身需求的安全網,期盼藉此提升半導體產業整體資安防護力。除此之外,亦希望將資安觀念與實務經驗分享給更多人,不僅為社會新鮮人提供橋樑,將書本理論能力與務實應用聯繫起來,也為經驗豐富的專業人士提供更廣闊視野,更能夠充實自我與提升互動成長。(全系列課程可於 SEMI 官網免費學習。)
半導體資安系列課程第一部分,重點放在正確的心態、做事的方法與策略,以及職場面談的準備與前 90 天的工作重點,相信對有志投身資安領域的年輕人,將會帶來很大幫助。
(本文授權非營利轉載,請註明出處:CIO Taiwan)