半导体产业的年度盛会SEMICON Taiwan国际半导体展,今年不但未受疫情影响,如期举办,展会规模更创下27年来新高,显见半导体产业的蓬勃发展,而台湾也继2019年后,再度成为全球最大设备采购市场,除了产业连接构的健全、材料技术先进的优势外,针对半导体产业的安全环节,台湾的脚步也可说是领先全球,例如今年初推出的SEMI E187安全标准,正是首个由台湾所主导制定的半导体安全国际标准。由数字产业局及工业局支持的SECPASS安全集成服务平台今年也在SEMICON Taiwan设置展馆,一连三天都准备了丰富的讲座与互动活动,吸引了不少参展者前往参与。
产业局与半导体协会、半导体产业公协会及企业齐聚一堂,共同推动半导体安全标准SEMI E187。
自2018年起,经济部工业局为了强健台湾的安全产业生态,委托工研院成立并推动产业公用的安全服务撮合平台,此为“SECPAAS安全集成服务平台”之肇始,SECPAAS意即Security Platform as a Service的缩写,汇集超过70家国产安全解决方案供应商,并提供辅导资源与撮合服务。
SEMI E187标准的制定,虽对于半导体产业有着指标性的意义,但后续的标准落实与推广,以及如何验证和审核,才是接下来的重中之重,而这也是SECPAAS当前的重要任务,借由今年的SECPAAS安全主题馆,我们得以一窥当前台湾各种半导体产业的安全解决方案。
其实SECPAAS已是连续第四年参展SEMICON Taiwan,在今年的安全主题馆中,更邀请了多家具有自主研发能量的台湾安全厂商,包括鸿璟科技、众至资讯、幻云资讯、台众计算机、杜浦数字安全、智弘软件科技、云智维科技、三甲科技、捷而思、全景软件、卢氪赛忒、椰枣科技、中华安全国际、来毅数字科技、奥义智能科技、睿控网安、博斯资讯安全、精品科技等18家伙伴厂商,介绍并推广有助于SEMI E187合规及供应链安全强化的本土安全解决方案,对于本土半导体产业来说,随着SEMI E187标准的制定,以及国际间对于安全性的重视,“安全”成为许多国际大厂在选择供应商时的重要条件,而台湾所拥有的充沛安全技术能量,可以成为一个极佳的突破口,帮助提高厂商竞争力并获得更多订单。
产业局吕正华局长与参与SEMICON“安全主题馆”18家具自主研发能量的安全厂商合影。
本届SEMICON Taiwan国际半导体展的SECPAAS安全主题馆提供十分多样化的企业安全解决方案,吸引不少参观者伫足询问。
另外,每年作为SECPAAS安全主题馆重点项目的“安全小聚”及“安全Pitch Show”等活动,今年同样是不容错过。今年的安全小聚共有3场,分别以“产线机台安全如何强化?”、“安全标准合规如何完成?”和“机密敏感资料安全如何管理?”为主题,由业界专家在现场进行问答式讲座。而安全Pitch Show则是通过安全专业人士的分享,就工控网络威胁、智能制造的风险、供应链安全防护、IoT身份认证、加密勒索攻击…等多项议题,进行观念的分享,其中大多是基于实务上的宝贵经验谈,可说是相当难得,能够有助于听者对安全概念有更深一层的认识。有关展期三天的安全主题讲座的详细分享内容,可以参考我们在SECPAAS安全主题馆系列报道。
借由安全小聚的主题讲座,专业讲者利用深入浅出的方式,让一般人们也能轻松了解SEMI E187安全标准及其重要性。
在安全Pitch Show活动中,除了邀请本土厂商就安全相关议题进行分享,在提出有效应对方案的同时,也完成分享产品资讯的目标。
今年参与SECPAAS安全主题馆的设摊厂商共有11家,对应SEMI E187安全标准的内涵分为五个方面,包括操作系统规范、网络安全、端点安全、资讯安全监控以及供应链安全等五大面向,以下就带大家导航一番。
由于目前线上使用的半导体机台设备,并不受SEMI-E187之规范,其过期OS的漏洞将造成安全威胁。鸿璟科技除了在现场展示如何通过手机就能进行Win XP的漏洞攻击,通过自家的Pico-UTM 100集成型网络安全双向过滤器解决方案,即拥有杀毒、防黑、防恶意网站的三合一防护,不但具备专利深度封包检测技术(DPI)外,还能检查至网络第7层,是业界CP值最高的端点UTM,只需要将其布局于重要的服务器之前,就能够即时阻挡来自网际网络的攻击,或通过区域多重防护,将病毒封锁在小范围,将损害减至最低。
鸿璟科技在现场展示Win XP漏洞攻击以及如何通过管理后台进行监控。
现在黑客技术越来越进步,在网络安全上除了要构建外部网关防火墙外,众至资讯特别强调企业需将IT层与OT层进行明确的区隔,在企业内网部分,最好能在企业内部重要机台前端也部署第二层防线,也就是内网防火墙,其INF系列内网防火墙设备,旨在侦测内部网络是否有异常行为发生及主动阻断攻击的来源,通过IPS、Sandstorm、ARP与病毒过滤机制强化内网连接安全,除了警戒监测异常连接行为外,还可与交换机进行协防机制,第一时间降低威胁。而在自动化制程的推演过程中,针对工控系统(ICS)和SCADA等设备,由于逐渐有了远程连接的需求,则可通过布局OTS防护设备,进行边界隔离、访问控制、阻绝非法连接,并且进行漏洞的虚拟修补。
众至资讯特别强调企业需将IT层与OT层网络环境进行明确的区隔。
幻云资讯向来专注在client base的解决方案,其在技术层面上的关键差异和创新,主要是通过边缘运算的形式,通过虚拟磁盘提供和管理安全/合规系统,以便在任何X86设备进行本地运行,无需依赖网络连接或任何外部资源。其数据匿踪技术(Data Cloaking)是特别针对解决勒索病毒的威胁而设计,通过软硬件集成的一体机(Invictus Server)提供自动备份与资料保护,并通过AI引擎进行勒索病毒行为分析并运行反制措施,使存储于Invictus Server内所有文件不被加密破坏,其独特的架构提供集中式管理和分布式运算,使之能用最少的服务器端资源来支持数百到数千个端点。
幻云资讯通过边缘运算技术来解决企业所面临到的诸多网络及安全痛点。
优倍司展出模块化的全方位内网管理集成系统“UPAS NOC”,也是业界唯一结合Agentless的NAC(网络访问控制)和Agent-based的ITAM(IT资产管理)之一体式安全网管解决方案,共由16个功能模块所组成,客户能够依据企业需求,自由选择功能模块,创建定制化的解决方案,并且具备了所见即所控的仪表接口,能够自动搜集设备资讯、强化内网可视性,提高管理的覆盖率,并能依照单位套用分权管理,支持Windows、LinuxmacOS、 Android、 iOS等设备,适用OA、OT、FAB等多样环境,在确保接入内网皆安全无虞的情况下、进行零时差的盘点和监视,并提供多种控制修补风险设备手段,有效创建内网的安全生态系统。
UPAS NOC提供多种模块化功能,涵盖网络访问控制、IP地址管理、身份识别管理、IT资产管理、移动设备管理等解决方案,可以自由搭配。
由杜浦数字安全推出,获美、日、台湾多个企业采用的“ThreatSonar Anti-Ransomware”威胁鉴识分析与回应平台,是一个着重“全面防堵”的EDR解决方案,包含了托管式侦测与回应服务平台(MDR Platform),针对APT(Advanced Persistent Threats)威胁攻击与勒索软件加密,提供端点侦测与回应的完善防护,并具备全景监控、勒索软件防护等特性,甚至可在计算机文书文件间放置陷阱文件,猎捕勒索软件的攻击。除了平台防护的布局之外,杜浦数字安全也提供专家咨询服务,可协助企业快速掌握威胁并获取解决方案。
ThreatSonar Anti-Ransomware是一种新形态的安全MDR服务平台,对于APT攻击与勒索病毒的威胁有独到的解决方式。
智弘软件本次展出的ANCHOR是台湾第一套自主研发的特权账号管理软件,目的是提供各种角色定义的用户,提供集成式门户网站方便针对受管理设备/服务进行账号集中管控、单一迁入及操作审核等作业。其核心是从账号生命周期中的每个管理环节,包含认证、申请、审核、激活、通知连接、监控、停用、报告、审核等等,均对应出符合管理流程与审核要求等各项功能,构成一个高度集中化的管理平台,省却传统上所需的高额构建费用与人力时间成本,将管理工作化繁为简,让IT人员提升工作效率,系统仍保有必要的审核记录,并符合安全内控与法规核实。
ANCHOR以精实化和方便性为设计概念,提供友善与简易操作的接口。
对于中小型企业来说,数字化虽然是趋势,但也可能面临设备成本提高,且专业资讯员工难寻的问题,故云智维科技将重点放在IT委外服务,结合云计算智能分析和当地专业人员亲临排除障碍,提供经济的网络运维服务。主要形式是运用自主研发AI数据分析科技构建网管与安全集成中心(NOC+SOC),提供托管、代维的一站式进驻服务。通过收集分析客户内部各种网络数据,7×24全天候持续监控网络传输品质及安全状态,保护整个厂区网络环境安全,且满足Log存储及报表等合规需求;而当异常障碍发生时,也能即时告警并快速定位根源,由云智维科技顾问团队在最短时间提出修复对策。
通过收集企业所开放的数据,云智维科技团队即可精确掌握企业设备健康百分比、异常设备数量并监控高风险安全事件。
三甲科技提供众多安全服务项目,本次展出的重点“安全健诊服务”,是依循各式标准与规定,针对客户单位环境进行全面性的安全检测,查看客户单位环境内各项安全防护能力,从而发现不安全的设置与潜在风险,主要检测目标项目包含:网络架构审视、有线网络恶意活动检测、用户及服务器主机之恶意程序检测与更新查看、各项安全性设置查看,以及政府组态基准查看等等。用户只需要执行检测程序,就可以自动开始搜集资讯,进行自动化分析,并利用网页回传搜集与分析的结果,提供该端点设备的各项安全消息,提升企业单位整体安全防护等级。
自动化分析产出的统计报表,让客户能够清楚了解设备健诊状况。
捷而思的产品类型众多,本次主要展出SEMI身份认证与授权解决方案,也即一次性动态密码OTP,协助供应商、海外员工及客户等用户,通过远程连接在连接到VPN/RDP时,可通过捷而思的多因认证系统进行验证,甚至可产生连续两组OTP密码,以便进行同步验证,输入错误立即锁住。此外,捷而思的OTP认证系统,除了可用于VPN/RDP远程桌面登录,也能应用在客户自行开发的系统及网站、主机登录管理,运用场景多样,集成快速便利,简单易懂的Dashboard呈现,可快速了解使用情况,管理者能更方便有效的管理,同时也适用于工厂产线之安全防御。
捷而思也通过生产资料个别机台的加密传输,以及全自动化用过即换的抛弃式密码管理系统,让生产资讯得以有效结合安全。
相较于多因素验证是针对人员身份的鉴别,全景软件所提供的方案则是关注设备硬件的鉴别,采用的是TPM芯片信任根的识别方法,通过嵌入Infineon安全芯片,提供物联网设备安全的身份认证,保护固件安全及避免资料外泄,由于芯片内部存储了密钥,加密解密作业均在TPM芯片内部完成, 因此很难窃取。当需要进行设备认证、网络连接VPN登录时,通过这项功能就可确保设备合法性,设备也能借此获得安全的固件更新机制,并可结合AWS、Azure、GCP等平台,有效保护安全信道及加密云计算资料,以抵御未来日趋复杂化的黑客攻击形式。
结合安全芯片认证,让设备具有唯一的设备凭证,就能实现设备身份的不可否认性。
如何确保公司在安全建设方面的投资是否有效,若等到实际黑客入侵再来验证,恐怕就太迟了一些。卢氪赛忒服务的核心,即是通过实际的入侵与渗透模拟,进行剧本式的高端威胁,以达到高效的红队演练成果,有点类似打疫苗的概念,协助企业提高抵抗力,在此理念下所推出的ArgusHack,也是台湾第一套自行研发的BAS软件,可构建基于SEMI E187的OS漏洞与网络服务的自动化验证流程及验证剧本,包含常见弱扫工具、重大漏洞真实测试与网络服务探索与安全性测试,最终出具报告厘清企业真正的安全弱点,并借由反复的演练,提高企业面对安全事件时的应变效率。
借由黑客攻击演练,才能针对既有的漏洞进行修正,进一步强化防御作为。