科技产业报订阅
Advantechline
 

推动资安标准 为工控领域灌输防御基本功

工业技术研究院信息与通讯研究所副组长卓传育。

尽管人们资安意识不断升高,但资安事件仍层出不穷,譬如不少知名企业或政府单位发生资料外泄事件、金融机构屡遭重大网络攻击,加上诸如Miori(Mirai进化版)、CPU漏洞攻击、WannaCry...等等影响全球的重大威胁不绝于耳;可以肯定,展望今后大家将继续与威胁共存。

工业技术研究院信息与通讯研究所副组长卓传育指出,进入物联网世代,安全威胁的攻击目标,从人扩散到机器,至于手段则从恶意程序渗透、诈骗,转变为弱点探索与攻击。但对于智能制造领域,其实最需要关注的,不是新威胁、而是旧威胁,以众所瞩目的晶圆厂产线中毒事件为例,祸首竟是两年前流行的WannaCry。

不禁令人纳闷,各界早已修补过一轮,为何晶圆厂防不了?症结在于工控是一个不喜欢Patching的世界,原因包括工厂以追求可用、稳定、生产力为重,资安不在优先顺位;有些老旧设备的操作系统早已EOS;工厂担心上Patch需停机而影响产能,索性不做修补、以实体隔离为主。但由于智能化,让实体隔离难以为继,导致产线沦陷。

美国国家网络安全和通讯集成中心(NCCIC)分析,谈及工控领域资安议题,38%可靠应用程序白名单解决,其次29%可因正确的设定、Patch管理而避免发生;显见「预防胜于治疗」,只要有标准规范可供依循,把基本功做到位,便可望杜绝许多威胁。

有监于此,国际半导体产业设备与材料协会(SEMI)台湾分会于去(2018)年11月成立「晶圆厂暨设备资安工作小组」(Task Force),旨在催生相关标准,帮助晶圆厂解决产线资安问题,此案已获国际SEMI会员投票同意,正式授予「SNARF 6506」案号。

卓传育说,未来标准一旦出炉,对所有晶圆设备供应商将产生约束力,这些业者若想继续做晶圆厂的生意,即需遵守游戏规则、确保成为合格供应商,做到采用具有Long Term Support的OS版本、关闭诸如TCP 445等高风险连接埠、提供应用程序白名单管理机制,及提供API让机台安全状态信息得以对外传送等等。


  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: 资安 工控自动化 资安防护