全力推廣 SEMI E187,厚植臺灣半導體產業實力
因應駭客將攻擊目標延伸到半導體產業,由於臺灣制定的首個半導體產業資安標準 SEMI E187,已於 2022 年初正式公佈,並於七月獲得 SEMI 國際標準貢獻獎。
採訪/林振輝、施鑫澤‧文/林裕洋‧刊期/2023.08
在獲取經濟利益前提下,駭客在持續研發新攻擊手法外,也不斷透過擴大攻擊面向。而對生產流程中斷忍耐度極低的製造業,特別在 OT 環境與 IT 環境串連後,衍生出更多資安防護上的漏洞,過去幾年已成為駭客組織鎖定的攻擊重點,近期光是臺灣頻頻爆發高科技大廠遭到勒索軟體攻擊的事件。由於半導體是支撐臺灣經濟的重要支柱,所以在工研院、台積電、SEMI 國際半導體產業協會、半導體產業等攜手合作下,於 2022 年初公佈首個半導體產業資安標準 SEMI E187,期盼從強化臺灣半導體產業資安韌性著手,最終推廣到全世界半導體產業之中。
工研院組長卓傳育說,催生臺灣半導體產業共同制定全球首個半導體產業資安標準 ─ SEMI E187 主因,來自於台積電做為全球半導體製造龍頭廠商,深知資訊安全的防護需要全產業生態與供應鏈的全面提升,非一已之力可竟全功,是以協同 SEMI 國際半導體產業協會、半導體製造與設備業者、資安產業業者與數位發展部數位產業署(初為經濟部工業局主導)委託工研院執行之資安推動計畫合作,著手制定 SEMI E187 半導體產業資安標準。
根據工研院提供資料顯示,台積電協同工研院資通所,在 2018 年 9 月透過 SEMI 國際半導體產業協會籌畫成立資安工作小組,邀請聯電、日月光、力積電等 30 家多產業代表及學界教授參加,共同制定半導體設備資安標準,最終在 2022 年 1 月正式發布 SEMI E187。
台積電強力推動 SEMI E187 標準正式出爐
或許是實現摩爾定律的理念下,在追求提升產品良率、邁向先進製程等目標下,半導體產業很早就透過資料收集、優化製程等智慧製造流程,讓生產效率、產品品質等更為穩定,也讓各種消費性電子設備能逐步朝小型化發展。正因如此,只要駭客順利入侵 OT 場域中,就可能導致各種生產設備遭到感染,最終陷入產線停機的惡夢之中,成為影響公司營收與商譽的不穩定因素。因此,甫於上個月獲得 SEMI 國際準貢獻獎,且是全球半導體產業關注的 SEMI E187 標準,主要是以解決半導體製造環境中的設備資安議題為核心。針對廠房相關設備制定資安要求,涉及半導體生產設備和自動化物料搬運系統的設計、操作和維護中的網路安全所需措施,作為保護半導體晶圓廠設備的基礎。此標準適用於為半導體製造廠提供設備或服務的組織,如設備供應商和系統整合商。聚焦從源頭提升半導體設備資安防護能力。
卓傳育指出,2018 年 9 月成立資安工作小組之後,大約 2019 年初才開始正式進行相關會議討論,中間歷經長達三年的多次會議討論後,SEMI E187 最終於 2021 年底定,並於 2022 年年初正式公告。標準制定過程會如此冗長關鍵,在於各領域業者都會提出自身所需的資安標準,如 SEMI E187 標準針對晶圓廠設備供應商提出 12 項要求等。每個月一次的資安工作小組,會將產業提出問題與要求進行討論、並逐步收斂,最終開放全球 SEMI 會員投票是否將此要求列入條文中。值得一提,過往資安標準都是由產、學界專家依資安理論制定,SEMI E187 是少數因應實際領域資安需求而發展出來的資安標準,此次臺灣能帶頭制定全球首個資安標準,主要得歸功於台積電帶頭全力支持與相關廠商、資安專家的積極參與及與全球 SEMI 會員充份溝通,才能讓全球設備供應商願意接受,建立起半導體設備資安之標準共識。
四大面向著手 制定基本資安標準
SEMI E187 標準涵蓋「作業系統規範」、「網路安全」、「端點防護」、「資訊安全監控」等四大面向,在作業系統規範部分,考量晶圓設備廠內部的設備種類眾多,目前適用於採用 Microsoft Windows、Linux 操作系統的晶圓廠設備,主要規範生產機台應避免採用 EOL(End-of-life,產品生命週期結束)作業系統,因為當軟體原廠無法持續提供更新和修補漏洞時,將大幅增加作業環境的資安風險。另外,對於已經無法修補程式的生產設備,則建議業者應該透過加裝防火牆等資安設備,藉此達到降低營運風險的目的。
在網路安全部分,在保護生產場域的網路安全前提下,SEMI E187 建議設備用戶應該利用防火牆等資安設備,搭配網路分段等方式,阻擋現今常見的各種網路威脅。另外,設備供應商也應該為自家設備提供網路安全管理的文件,讓設備使用者能完成網路設定工作,藉此減少惡意軟體入侵的機率。在傳輸安全部分,建議設備供應商應該支援 HTTPS、SFTP 和 SSH 等安全協議,確保設備擁有者可在此安全前提下進行資料交換等工作,同時管理相關網路憑證。
在端點防護部分,主要是引進合適的資安方案,以及關閉不必要的功能,保護端點裝置避免受到惡意軟體的攻擊。SEMI E187 建議實務做法非常廣泛,如設備出貨前應立即進行弱點掃描、惡意程式掃描與漏洞修補,特別是考量到惡意軟體更新速度非常快,因此掃描報告必須記錄執行的日期和詳細資訊。此外,文件中也建議設備供應商應該提供設備能安裝、管理或更新的反惡意軟體軟體清單,並預先關閉或移除非必要、未使用之網路介面,方便設備管理者進行後續安全維護。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
在資訊安全監控部分,主要訴求生產設備應具備產生及傳送資安日誌的功能,除可讓資安團隊藉由收集系統操作資訊和網路活動,達到錯誤校正、持續監控之外,也能在爆發資安事件後進行調查。另外,資安團隊在收集資安日誌之外,也應該採取異地保存機制,才能達到避免被駭客篡改或刪除的憾事。
「SEMI E187 設計理念並非以訂出最高資安標準出發,而是設備商、系統整合商必須達到的基本要求,若滿分為 5 顆星,符合此標準代表符合三顆星的資安要求。」卓傳育解釋:「符合 SEMI E187 標準,只是達到半導設備資安的基本門檻,不同廠商可能在此標準上再加上自家的資安規範,合作廠商仍必須符合個別廠商的資安要求,持續提升自身的產品安全防護能力。」
解決四大挑戰 降低資安風險
半導體先進製程的生產設備使用年限都很長,因此面臨的第一個問題,便是設備商供貨新機台,仍然是採用軟體原廠早已不支援的作業系統,如 Windows 7 等。當廠商使用此類設備時,可能得承擔長達 40 年以上的資安風險,且後續設備維護工作非常複雜,因此透過 SEMI E187 標準要求設備商必須採用尚且在軟體原廠技術支援內的作業系統,可顯著降低設備投入時的立即風險。
第二個挑戰是防堵勒索軟體攻擊,如 WannaCry 是利用作業系統本身漏洞,透過沒有關閉的網路連接埠入侵,所以在 SEMI E187 要求設備供應商,必須避免使用高風險的網路連接埠,甚至應該預先主動關閉。第三個挑戰在於多數生產機臺都無法安裝防毒軟體,即便可安裝也不知道相容性高低,或者對設備本身的效能影響程度,儼然已經無法符合時下的資安需求。因此在 SEMI E187 標準中,要求設備供應商需自行進行測試與防毒軟體之間的相容性,方便晶圓廠業者後續安裝防毒軟體時的參考。
[ 推薦閱讀:當資安標準遇到管理 ]
卓傳育指出,因應半導體產業打造智慧工廠的要求,設備本身可將各種製程參數等資料輸出,作為業者優化製成的參考。相較之下,與資安相關的帳號登錄失敗、異常活動等資訊,並不具備紀錄與保存等功能,成為晶圓廠業者強化資安防護的缺口。因此,在 SEMI E187 標準中的最後一項,也加入設備應具備產生及傳送資安日誌的功能,作為資安團隊改善資安防護上的參考。
參考 SEMI E187 導入指南 降低產業導入難度
若要提升全球半導體產業的資安防護水準,除要有一套可執行的國際標準外,產業中各成員也須積極參與。要提升產業導入意願跟加快導入速度,最好做法則是需建立一套易於了解的參考指南,作為業界導入 SEMI E187 過程中的參考,避免每家廠商對資安標準理解程度不同,出現標準推廣上的障礙。
為降低半導體產業導入 SEMI E187 的門檻,進而提升整體產業的資安防護能力,數位部產業署亦委託工研院攜手 SEMI 產業協會會員廠商共同制定 SEMI E187 設備資安標準導入指南(Reference practice),並於 2022 年 10 月在 SEMI 官網上公布。此指南基於 OT 零信任安全策略為核心,涵蓋設備入廠(Onboarding)、配置(Staging)、生產(Production)與維護(Maintenance)期間的防護,提供企業落實 SEMI E187 半導體設備資安標準規範的實務方法,期望透過指引內容協助產業更快掌握 SEMI 標準的精神內涵,以及落實重點方向。
為協助更多半導體設備商導入 SEMI E187 標準,工研院已在數位部產業署支持的 SECPAAS 資安整合服務平台上,提供多個資安評估工具,讓半導體設備商可自行評估設備是否符合 SEMI E187 標準。此外,隨著數位部成立之後,SEMI E187 推廣工作也轉移到數位發展部數位產業署,所以該署也攜手半導體、資安業者在沙崙資安服務基地,建立全球首創的半導體資安攻防演練專區,透過實際模擬不同駭客攻擊手法及資安防護應用,藉此對外展示 SEMI E187 解決方案的優勢,期盼藉此逐步強化臺灣半導體產業的資安防護力,同時擴大半導體設備廠商的合規比例。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
