随着国际对于上游制造的安全要求升级,以及在网络威胁日益严峻下,为了维持半导体产业供应链的稳定运行,安全防护的落实可说是相当关键,近日SEMI国际半导体产业协会宣布,半导体安全风险评级服务正式上线,这是继半导体芯片设备安全标准SEMI E187发布与推动后,另一促进半导体供应链安全强化的新利器。
现在半导体客户对于供应链的安全要求日益明显,在去年11月,SEMI台湾安全委员会主席屠震就提到:不论是定期对供应商进行安全评估,或是针对供应商的安全状况要求透明度与可视性,都越来越常见。
为了帮助整个产业应对该态势,SEMI台湾安全委员会提出对策,除了SEMI E187标规范制定后的推动与导入,提升半导体供应链安全意识,接下来,还将聚焦于两大重点,分别是:促进有效评估供应链网络安全态势,以及构建供应链安全评估框架并创建长久安全策略,而在具体作为上,当时提到的有通过第三方服务评级,创建安全现况评估范本,以及验证的做法。现在,这方面已有最新进展披露。
时隔一年的此刻,也就是12月5日这一天,SEMI正式推出半导体安全风险评级服务。
特别的是,这其中推动安全的种种作为,其实,有许多部分都从台积电自身的经验而来。例如,在这个SEMI半导体安全风险评级服务中,引入了第三方风险评分和风险态势服务。根据屠震的说明,他是SEMI台湾安全委员会主席,也是台积电企业资讯安全处长,他表示,在台积电的经验中,有了这项评分机制,让许多供应商安全漏洞及时被披露并修补。其好处在于,协助企业监控供应商安全态势,也提供了供应链安全基准比较。现在SEMI要将这样的机制,推动到全球产业供应链。
另外,SEMI这次也提到以零信任为最高安全防御指导原则,尽管其中没有特别针对这点多所着墨,但显然零信任网络安全的议题也同样开始备受半导体业重视
更具体来看,在SEMI半导体安全风险评级服务中,将采取由外而内、由内而外的方式,形成一套完整的方案,分别对应的是:第三方安全态势风险评分工具,以及安全风险评估通用问卷(简称SEMI安全评定),进而协助产业视内部的安全风险现况。
简单而言,这项服务将借助第三方企业安全风险评级服务之力,从网络资产、网络应用、人为风险这三大构面,以及网际网络资产曝险角度来进行评估,其中将针对域名风险态势、暗网情报资料比对、外部资产报告,提供评估结果,并涵盖10大类别风险层面的侦测,包括人为风险、端点安全、电子邮件、网络服务、云计算服务,以及网络应用服务等。最终,将以分数方式呈现曝险等级,并会提供与同业比较的结果呈现方式,这也意味着,可让企业让企业对自身及供应链的安全强度有更好的认知,对于自身安全强度有较直观的概念。
不仅如此,对于服务中所发现的风险,将会提供风险补强与修补措施上的建议,并在企业修补之后,可再次进行风险评级,如此一来,将让企业能立即了解投资与安全强化的效益。而在持续性的评级之下,有助于企业更容易去掌握安全风险改善曲线。
同时,SEMI Taiwan半导体安全委员会还从半导体产业安全经验,独家量身打造出一份半导体产业别通用的问卷,让企业内部可自行评估风险及脆弱点。
而在此之前,台湾之前也有针对制造业,推动“安全成熟度评级服务”,这是由台湾工研院安全服务集成平台SecPaaS在2020年所提出,目的是借由针对制造业的专属问卷,让企业能够快速做到自我安全诊断,其目的也是为了让制造业,可以在提升安全景更有方向。
整体来看,对于半导体产业而言,面对供应链安全的议题,要有效提升安全防御,如今已有新的方式可以利用。关于成本的部分,SEMI也公布这套服务的计价方式与费用,主要依据持续监控天数,分为两种订阅方案:7日(一周)与30日(一个月),费用从22,575元起算,而且非SEMI会员也可订阅。 综观该发展,SEMI期盼的应是,借安全风险评估的实施与普及,进而带动整个半导体产业链上中下游,能逐步在每个环节去提升安全量能。
SEMI国际半导体产业协会在12月5日宣布,半导体安全风险评级服务正式推出,其中主要结合了第三方安全态势风险评分工具,以及SEMI安全评定,形成一套完整方案。