隨著國際對於上游製造的資安要求升級,以及在網路威脅日益嚴峻下,為了維持半導體產業供應鏈的穩定運作,資安防護的落實可說是相當關鍵,近日SEMI國際半導體產業協會宣布,半導體資安風險評級服務正式上線,這是繼半導體晶圓設備資安標準SEMI E187發布與推動後,另一促進半導體供應鏈資安強化的新利器。

現在半導體客戶對於供應鏈的資安要求日益明顯,在去年11月,SEMI臺灣資安委員會主席屠震就提到:不論是定期對供應商進行資安評估,或是針對供應商的安全狀況要求透明度與可視性,都越來越常見。

為了幫助整個產業因應此一態勢,SEMI臺灣資安委員會提出對策,除了SEMI E187標規範制定後的推動與導入,提升半導體供應鏈資安意識,接下來,還將聚焦於兩大重點,分別是:促進有效評估供應鏈網路安全態勢,以及構建供應鏈資安評估框架並建立長久資安策略,而在具體作為上,當時提到的有透過第三方服務評級,建立資安現況評估範本,以及驗證的作法。現在,這方面已有最新進展揭露。

時隔一年的此刻,也就是12月5日這一天,SEMI正式推出半導體資安風險評級服務。

特別的是,這當中推動資安的種種作為,其實,有許多部分都從台積電自身的經驗而來。例如,在這個SEMI半導體資安風險評級服務中,引入了第三方風險評分和風險態勢服務。根據屠震的說明,他是SEMI臺灣資安委員會主席,也是台積電企業資訊安全處長,他表示,在台積電的經驗中,有了這項評分機制,讓許多供應商資安漏洞及時被揭露並修補。其好處在於,協助企業監控供應商資安態勢,也提供了供應鏈資安基準比較。現在SEMI要將這樣的機制,推動到全球產業供應鏈。

另外,SEMI這次也提到以零信任為最高資安防禦指導原則,儘管當中沒有特別針對這點多所著墨,但顯然零信任網路安全的議題也同樣開始備受半導體業重視

推動半導體產業資安落實,兼顧由外而內、由內而外形成一套完整方案

更具體來看,在SEMI半導體資安風險評級服務中,將採取由外而內、由內而外的方式,形成一套完整的方案,分別對應的是:第三方安全態勢風險評分工具,以及資安風險評估通用問卷(簡稱SEMI資安評鑑),進而協助產業視內部的資安風險現況。

簡單而言,這項服務將藉助第三方企業資安風險評等服務之力,從網路資產、網路應用、人為風險這三大構面,以及網際網路資產曝險角度來進行評估,當中將針對網域風險態勢、暗網情資比對、外部資產報告,提供評估結果,並涵蓋10大類別風險層面的偵測,包括人為風險、端點安全、電子郵件、網路服務、雲端服務,以及網路應用服務等。最終,將以分數方式呈現曝險等級,並會提供與同業比較的結果呈現方式,這也意味著,可讓企業讓企業對自身及供應鏈的資安強度有更好的認知,對於自身資安強度有較直觀的概念。

不僅如此,對於服務中所發現的風險,將會提供風險補強與修補措施上的建議,並在企業修補之後,可再次進行風險評級,如此一來,將讓企業能立即瞭解投資與資安強化的效益。而在持續性的評級之下,有助於企業更容易去掌握資安風險改善曲線。

同時,SEMI Taiwan半導體資安委員會還從半導體產業資安經驗,獨家量身打造出一份半導體產業別通用的問卷,讓企業內部可自行評估風險及脆弱點。

而在此之前,國內之前也有針對製造業,推動「資安成熟度評級服務」,這是由我國工研院資安服務整合平臺SecPaaS在2020年所提出,目的是藉由針對製造業的專屬問卷,讓業者能夠快速做到自我資安診斷,其目的也是為了讓製造業,可以在提升資安時更有方向。

整體來看,對於半導體產業而言,面對供應鏈安全的議題,要有效提升資安防禦,如今已有新的方式可以利用。關於成本的部分,SEMI也公布這套服務的計價方式與費用,主要依據持續監控天數,分為兩種訂閱方案:7日(一週)與30日(一個月),費用從22,575元起算,而且非SEMI會員也可訂閱。 綜觀此一發展,SEMI期盼的應是,藉資安風險評估的實施與普及,進而帶動整個半導體產業鏈上中下游,能逐步在每個環節去提升資安量能。

SEMI國際半導體產業協會在12月5日宣布,半導體資安風險評級服務正式推出,當中主要結合了第三方安全態勢風險評分工具,以及SEMI資安評鑑,形成一套完整方案。

熱門新聞

Advertisement