去年8月,晶圓代工龍頭台積電爆發機臺中毒事件,讓生產線的資安議題浮上檯面,大家開始注意到IT與OT環境的先天差異,臺灣半導體產業如今也積極推相關資安標準,例如,在5月中由經濟部工業局委託工研院執行的國際資安新創交流活動上,工研院資通所副組長卓傳育揭露了相關現況,以及關於這項標準制訂的目標與挑戰。
整體而言,對於資安的議題,國內半導體產業已經不像過去被動,準備在資安標準方面發力。相較於目前市面上的資安標準包括ISO 27001,以及工控系統標準IEC 62443等,在半導體產業中的相關標準,則是在國際半導體產業設備與材料協會(SEMI)平臺下形成,像是關於化學、材料、製造過程與環境安全的標準制訂,而在臺灣產業帶領之下,也希望能夠建立資安方面的標準,讓半導體產業供應商能夠遵循。
由SEMI臺灣技術委員會帶頭,催生晶圓廠設備資安標準
臺灣本身在半導體產業扮演了舉足輕重的角色,不僅身為設備買家,也有完整的產業生態鏈,因此,臺灣產業要在協會中制訂相關標準,其實也是相當有影響力。
關於半導體資安標準的制訂,卓傳育指出,是從去年10月開始準備,在今年1月正式由SEMI臺灣的技術委員會發起,成立晶圓廠及設備資訊安全任務小組(Fab & Equipment Information Security Task Force),目前這個任務小組的提案,也已經通過國際SEMI會員投票同意,進而取得案號並正式撰寫草案,預計第一版草案將在今年10月1日出爐。(案號6506:Activity Start: 2019/01/01)
其實,過去SEMI也有成員希望推動資安,但當時只是想做資安指引,而現在是要訂出標準,讓想要賣設備到半導體廠商的業者都要遵循。當然,這個推動過程會遇到很大的阻力,他說,任務小組一開始談的面向比較廣泛,但在實際進行過程中,以及國際產業間的討論,因此,最後限縮在晶圓廠與設備的範疇。
目前,這個任務小組的成員包含台積電、日月光、聯電、力晶等許多臺灣電子業者,工研院也身在其中,還有微軟、趨勢科技等業者共同參與,任務小組每個月開一次會,討論那些項目適合放到標準,他們也歡迎其他業者,一起致力於這個產業資安標準的推動。
在他們開始制定這個標準後,美、日、韓也有類似的活動,由於臺灣產業成員已經先在SEMI提出,因此有望能帶領推動相關資安標準的建立,以解決產線所面對的資安問題。
目前,他們這個任務小組的主要目標有3個,第一是要解決電腦作業系統EOS的問題,第二是晶圓廠設備難以更新修補的問題,第三則是要能夠做到持續性的監控與稽核。
同時,卓傳育也指出,從這次半導體資安標準制訂,所涵蓋的面向來看,主要可畫分為四大部分,首先是電腦作業系統安全,或許將來系統商能提供更長生命週期的版本,或是提供維護更新的工具;其次為網路安全,需要限制一些高風險的連接埠,像是TCP 445等;第三是端點安全,包括防毒與應用程式白名單等;最後,則是要能做到資安監控。
解決半導體業資安難題,包括系統生命週期與更新問題
關於半導體資安標準的制訂,卓傳育進一步解釋了半導體產業現在所面臨的挑戰。
以半導體產業而言,一直是以產能、良率為優先,重視機器穩定運行,不能使產線停止運作。更關鍵的是,卓傳育指出,半導體設備非常昂貴,動輒數十億元,可能要使用30年來攤提設備設備成本。
但是,若以作業系統的技術支援服務來看,例如過去Windows版本的產品大約是10年,因此,半導體設備明顯面臨系統終止支援(End of Support,EOS)的威脅。而且,這類設備可能在出貨時,原廠就是搭配舊的系統,甚至買來時,系統就已經是處於中止銷售的狀態,原廠還不允許更新,為的是避免對產能效率帶來影響。
因此,第一個要解決的問題,是在怎麼解決作業系統的EOS,卓傳育認為,這在一般智慧製造也都會發生,但問題不像半導體業那樣嚴重,因為他們需要花30年來攤提成本,導致設備使用效期相當長。
其次,是系統難以更新修補的狀況。在產能優先考量之下,系統如何能在很短時間內完成更新修補?以及檢視更新是否對效能帶來影響?卓傳育表示,由於產線設備老舊效能慢,更新速度並不像一般辦公環境IT那樣快,而更新後的設備效能理論上是沒問題,但很難驗證,若要複製第二套設備來進行驗證,成本又太昂貴。
第三,實體隔離落實不易。過往這類半導體設備的運行,理論上是要在真正實體隔離環境運作,只是在智慧製造的浪潮之下,實體隔離也已逐漸不存在。事實上,半導體產業的自動化比例非常高,人為介入的比例很少,而要做到自動化,不僅各個機臺之間要連動,還有機臺內部不同程式溝通也是如此,這也意謂著設備相互都連在一起,若是系統不修補,又是採用EOS的系統,將使得資安威脅風險極大。因此,網路的微分割也很重要,讓一區受害不會擴散。
除此之外,卓傳育也提到半導體在資安更是面臨新考驗。例如,OT世界的威脅大多是已知的弱點、從預設信任走向零信任的世界,以及工控協議缺乏加密。特別的是,他還指出一個目前資安方案尚未涵蓋的議題,那就是關於營業祕密製程配方的保護──在無法避免連網的情況下,駭客是否可能蒐集到完整的製程參數資訊。
因此,半導體產業的資安防護該如何進行?其實,美國ICS-CERT在2015年,已經提出7大防護策略能夠適用,其中白名單的重要性,是最被強調的部分。對此,卓傳育也說明了現階段的因應情況,例如,如果機臺有機會導入白名單,他們建議用戶就應該要執行,只不過這種作法還是有些限制,因為,可能面臨原廠或系統不支援,甚至設備原廠也沒有相關知識,來協助建立白名單的狀況--因為原廠只知道程式是他們寫的,但不知道用了那個開源模組,以及它們會跟那些程式有連動。
不過,所謂預防勝於治療,要解決這樣的問題,卓傳育認為,其實半導體產業要處理的是供應鏈安全的議題。例如,對於生產製造機臺的業者,要求在設備出廠時,就內建白名單,以及各種安全設定功能,這會比額外增加防護要容易;而且,過往先進製程的半導體設備,由於只有獨門廠商能夠生產設備,用戶很難要求對方配合。而為了凝聚產業之力,共同正視資安風險,訴諸標準就是必要手段。
在半導體產業所面臨的資安挑戰中,作業系統的終止支援(EOS)是首要面對的風險,比起一般製造業都要嚴重,因為設備昂貴,可能要花上30年來攤提設備成本。此外,還有面對系統難以更新修補的狀況,實體隔離漸漸不存在等風險,以及種種新的資安挑戰。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19