供應(yīng)商是第一大風(fēng)險(xiǎn),但減少攻擊需要全行業(yè)的協(xié)作。
半導(dǎo)體制造商正在努力解決如何確保高度專(zhuān)業(yè)化和多樣化的全球供應(yīng)鏈的安全,特別是隨著他們的知識(shí)產(chǎn)權(quán)價(jià)值和對(duì)軟件的依賴(lài)不斷增加,以及攻擊者的復(fù)雜性和資源的增加。
盡管確實(shí)存在安全方法和標(biāo)準(zhǔn),但它們往往令人困惑、繁瑣且不完整。存在很多差距,特別是在一些較小的知識(shí)產(chǎn)權(quán)、設(shè)備和材料供應(yīng)商之間,安全性充其量也只是初級(jí)的。部分原因是過(guò)去人們的注意力主要集中在芯片和芯片制造商的漏洞上。但半導(dǎo)體行業(yè)各公司之間的相互依賴(lài)性越來(lái)越高,隨著復(fù)雜性的增加和芯片設(shè)計(jì)變得越來(lái)越異構(gòu),交互的數(shù)量也在增加。最薄弱的環(huán)節(jié)使整個(gè)供應(yīng)鏈面臨風(fēng)險(xiǎn),估計(jì)超過(guò) 50% 的安全威脅是由供應(yīng)商帶來(lái)的。
制造業(yè)是一個(gè)特別高價(jià)值的目標(biāo),竊取的數(shù)據(jù)可用于啟動(dòng)高度復(fù)雜技術(shù)的競(jìng)爭(zhēng)。即使攻擊被成功阻止,攻擊者造成的任何違規(guī)或入侵都可能會(huì)增加交付時(shí)間,并且會(huì)增加調(diào)查違規(guī)原因和所需補(bǔ)救措施的成本。它們也讓這些攻擊的受害者感到尷尬,他們需要向客戶(hù)和監(jiān)管機(jī)構(gòu)解釋出了什么問(wèn)題、何時(shí)發(fā)生以及采取了哪些行動(dòng)(如果有的話(huà))。
業(yè)界清楚地意識(shí)到不斷擴(kuò)大的威脅形勢(shì)。協(xié)作是今年 SEMICON West 網(wǎng)絡(luò)安全論壇的一大主題。英特爾、臺(tái)積電、應(yīng)用材料、ASML、泛林研究和 Peer Group 的安全負(fù)責(zé)人都指出,需要確保行業(yè)利益相關(guān)者之間的互動(dòng)安全,以及防止數(shù)據(jù)泄露和泄漏的安全標(biāo)準(zhǔn)和流程,但又不能讓安全變得如此重要。它會(huì)妨礙開(kāi)展業(yè)務(wù)。
安全性對(duì)于技術(shù)的各個(gè)方面來(lái)說(shuō)仍然是一個(gè)挑戰(zhàn),并且隨著越來(lái)越多的流程和設(shè)備連接到互聯(lián)網(wǎng)以及相互連接,安全性變得更具挑戰(zhàn)性。沒(méi)有一種安全措施是完美的,也沒(méi)有一種解決方案是足夠的。良好的安全性是一個(gè)過(guò)程,需要設(shè)計(jì)安全的態(tài)度以及整個(gè)供應(yīng)鏈的彈性。當(dāng)漏洞出現(xiàn)時(shí),需要對(duì)其進(jìn)行評(píng)估和解決。
在 SEMICON 上,幾位首席信息安全官 (CISO) 指出,大約 60% 到 90% 的有影響力的安全問(wèn)題是由供應(yīng)商引入的。
漏洞、障礙、解決方案
成功的違規(guī)行為可能會(huì)產(chǎn)生廣泛的影響。它們可能會(huì)延遲發(fā)貨、泄露 IP 并導(dǎo)致運(yùn)營(yíng)停機(jī)。它們還可能導(dǎo)致產(chǎn)品受感染并影響公司的品牌。
通過(guò)云或其他方式共享數(shù)據(jù),以及智能制造的快速采用,只會(huì)提高人們對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)。Amkor Technology IT 部門(mén)副總裁 Joon Ahn總結(jié)了需要考慮的安全漏洞:
數(shù)據(jù)泄露:聯(lián)網(wǎng)設(shè)備的使用和數(shù)據(jù)共享的增加可能會(huì)增加數(shù)據(jù)泄露的風(fēng)險(xiǎn)。如果敏感數(shù)據(jù)沒(méi)有得到適當(dāng)?shù)谋Wo(hù),未經(jīng)授權(quán)的用戶(hù)可能會(huì)訪問(wèn)它。
物理安全:隨著工廠變得更加自動(dòng)化,物理安全變得越來(lái)越重要。未經(jīng)授權(quán)進(jìn)入工廠車(chē)間可能會(huì)導(dǎo)致設(shè)備損壞或被盜。
內(nèi)部威脅:有權(quán)訪問(wèn)敏感系統(tǒng)和數(shù)據(jù)的員工如果參與惡意活動(dòng)或因人為錯(cuò)誤無(wú)意中危及安全,可能會(huì)帶來(lái)安全風(fēng)險(xiǎn)。
威脅可能來(lái)自多個(gè)方向,并且可以針對(duì)從 IT 到設(shè)施再到運(yùn)營(yíng)技術(shù)的所有方面。
美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所 (NIST) 半導(dǎo)體參與高級(jí)顧問(wèn)Robert Ivester在他對(duì)運(yùn)營(yíng)技術(shù)的描述中指出,制造商及其供應(yīng)鏈越來(lái)越依賴(lài)于與物理交互的各種可編程系統(tǒng)和設(shè)備。環(huán)境。其中包括工業(yè)控制系統(tǒng)和樓宇管理系統(tǒng)。
與此同時(shí),設(shè)施不僅僅涉及建筑物。臺(tái)積電企業(yè)信息安全主管 James Tu 表示:“我們談?wù)撛O(shè)施安全是因?yàn)闄C(jī)器無(wú)法在沒(méi)有電力、化學(xué)品、氣體以及廢物處理管理的情況下運(yùn)行?!?“設(shè)施安全至關(guān)重要,因?yàn)檫@是一個(gè)安全問(wèn)題。我們專(zhuān)注于設(shè)施安全和基礎(chǔ)設(shè)施安全的結(jié)合?!?/p>
其他人也同意。“為了解決這些安全漏洞,可以采取幾個(gè)步驟,例如進(jìn)行風(fēng)險(xiǎn)評(píng)估、培訓(xùn)員工和實(shí)施物理安全措施,”Amkor 的 Ahn 說(shuō)。
對(duì)于軟件來(lái)說(shuō),實(shí)現(xiàn)合規(guī)性需要了解您的足跡并構(gòu)建可持續(xù)的安全方法?!爱?dāng)我們向不同的工廠提供軟件時(shí),有時(shí)會(huì)出現(xiàn)特殊版本或特殊要求,”P(pán)eer Group 總裁兼首席執(zhí)行官 Mike Kropp 說(shuō)道?!八晕覀兊能浖?shí)際上有不同的個(gè)性。我們需要考慮如何保持合規(guī)性。也許一臺(tái)設(shè)備上的數(shù)百萬(wàn)行代碼中有一些不應(yīng)該存在的東西。”
克羅普解釋說(shuō),關(guān)鍵是了解您的足跡,然后圍繞它構(gòu)建可重復(fù)的流程。該足跡包括有權(quán)使用軟件 IP 的員工數(shù)量 (200)、客戶(hù)工廠數(shù)量 (120+) 以及相關(guān)設(shè)備數(shù)量 (> 4,000)。對(duì)于 Peer Group 的晶圓處理軟件,他表示安裝基礎(chǔ)擁有超過(guò) 90,000 個(gè)連接。但了解您的足跡還意味著了解您的軟件需要支持的操作系統(tǒng)數(shù)量(在 Peer Group 的情況下為數(shù)十個(gè)),并確定您的軟件所依賴(lài)的第三方庫(kù)(為 130 個(gè))。
監(jiān)控安全性是一個(gè)持續(xù)的過(guò)程,但需要盡可能自動(dòng)化并內(nèi)置到開(kāi)發(fā)過(guò)程中。
“我們正在盡我們所能提供安全軟件,”克羅普說(shuō)?!叭绻覀冏约旱能浖袡z測(cè)到漏洞,我們會(huì)將其視為缺陷。我們將分配一個(gè)具有嚴(yán)重性級(jí)別的工作項(xiàng),并將其放在內(nèi)容開(kāi)發(fā)人員的工作列表中。如果我們?cè)诹鞒探Y(jié)束時(shí)這樣做,那就太晚了。這必須作為我們開(kāi)發(fā)環(huán)境的一部分發(fā)生。我們改變了開(kāi)展業(yè)務(wù)的方式,以將安全作為常規(guī)運(yùn)營(yíng)方式?!?/p>
圖 1:軟件漏洞流程示例
數(shù)據(jù)共享和安全始終是一個(gè)問(wèn)題。聯(lián)華電子智能制造副總監(jiān) James Lin 表示:“除了物理安全之外,云信息安全也成為我們邁向自主智能工廠道路上的一個(gè)問(wèn)題,尤其是當(dāng)我們嘗試擁抱生成式人工智能時(shí)?!?“訓(xùn)練最先進(jìn)的生成式人工智能模型需要在大型 GPU 環(huán)境中使用敏感的企業(yè)數(shù)據(jù)。如果我們想利用企業(yè)云解決方案,最高級(jí)別的信息安全認(rèn)證是絕對(duì)必須的?!?/p>
生成式人工智能是保護(hù)數(shù)據(jù)的新威脅,因?yàn)樗軌蛑悄艿貙?shù)據(jù)片段鏈接在一起,而不是試圖在一個(gè)地方獲取所有數(shù)據(jù)。根據(jù)一份報(bào)告,工程師使用 ChatGPT 技術(shù)來(lái)優(yōu)化測(cè)試序列,以識(shí)別芯片中的故障,并在單獨(dú)的事件中將會(huì)議記錄轉(zhuǎn)換為演示文稿。在這兩種情況下,敏感信息都在公司外部共享。
云本身包含最先進(jìn)的安全性,但這并不是全部?!按蠖鄶?shù)晶圓廠都會(huì)說(shuō)數(shù)據(jù)安全(云與本地)是最大的問(wèn)題。我相信大型提供商(AWS/Azure 等)的云數(shù)據(jù)安全比當(dāng)今任何本地環(huán)境都更安全。”Tignis 營(yíng)銷(xiāo)副總裁 David Park說(shuō)道。“最大的問(wèn)題不是外部黑客攻擊,而是用戶(hù)認(rèn)證不當(dāng)。如果您不恰當(dāng)?shù)厥谟鑶T工訪問(wèn)權(quán)限,那就與允許黑客破壞您的安全一樣糟糕。隨著智能制造成為常態(tài),內(nèi)部安全和權(quán)限將成為一個(gè)大問(wèn)題。”
進(jìn)出云端的數(shù)據(jù)以及不同公司或辦公室之間共享的數(shù)據(jù)和軟件的安全性可能要低得多。雖然加密是保護(hù)此類(lèi)數(shù)據(jù)的標(biāo)準(zhǔn)方法,但這在復(fù)雜的供應(yīng)鏈中不起作用,因?yàn)榇蠖鄶?shù)公司都會(huì)阻止傳入的加密數(shù)據(jù)和軟件。
Lam Research副總裁兼首席信息安全官 Jason Callahan 表示:“如今,我們?cè)诤芏喾矫媾c我們的業(yè)務(wù)不一致,尤其是在數(shù)據(jù)方面。”?!拔覀兪菑牧阈湃蔚慕嵌冗\(yùn)作的。但我們都共享知識(shí)產(chǎn)權(quán)。顯然,存在著很大的信任。我們一直與供應(yīng)商和其他方合作,以有效的方式共享信息。從網(wǎng)絡(luò)概念來(lái)看,我們遇到了障礙。從根本上說(shuō),我們作為安全人員不信任加密。我發(fā)現(xiàn)每個(gè)人都阻止加密進(jìn)入他們的環(huán)境。如果您是網(wǎng)絡(luò)人士,加密可能會(huì)很糟糕。從根本上來(lái)說(shuō),這是我們最大的弱點(diǎn)。我們拒絕加密,這讓我感到震驚,因?yàn)槲覀兪菑?qiáng)迫每個(gè)人對(duì)內(nèi)部所有內(nèi)容進(jìn)行加密的人?!?/p>
加密存在三個(gè)傳統(tǒng)問(wèn)題。首先,它可能包含惡意軟件或?qū)е侣┒矗⑶以诮饷苤盁o(wú)法得知這一點(diǎn)。其次,它可能隱藏一種竊取數(shù)據(jù)的機(jī)制。第三,它可能會(huì)阻礙法律糾紛中的法律取證或發(fā)現(xiàn)。
卡拉漢對(duì)所有這些擔(dān)憂(yōu)提出了質(zhì)疑,并指出每個(gè)人都將深度防御作為其安全計(jì)劃的基石,包括防病毒軟件和端點(diǎn)檢測(cè)和響應(yīng)(EDR)來(lái)檢測(cè)惡意軟件和違規(guī)行為。數(shù)據(jù)泄露是一個(gè)內(nèi)部風(fēng)險(xiǎn)問(wèn)題,公司擁有適當(dāng)?shù)墓ぞ吆拖到y(tǒng)來(lái)解決這個(gè)問(wèn)題。與法律取證或發(fā)現(xiàn)相關(guān)的擔(dān)憂(yōu)是一個(gè)特殊案例。允許知識(shí)產(chǎn)權(quán)加密以維持安全傳輸更為重要。
供應(yīng)商安全管理
所有 CISO 都同意管理整個(gè)供應(yīng)鏈的安全是絕對(duì)必要的。然而,說(shuō)起來(lái)容易做起來(lái)難。供應(yīng)商數(shù)量龐大,這是一個(gè)巨大的挑戰(zhàn)。
對(duì)于軟件供應(yīng)商來(lái)說(shuō),這包括第三方庫(kù)。對(duì)于設(shè)備供應(yīng)商來(lái)說(shuō),就是零部件供應(yīng)商。對(duì)于工廠來(lái)說(shuō),它是制造設(shè)備、材料、軟件供應(yīng)商和計(jì)算機(jī)硬件。例如,ASML CISO Aernout Reijmer 表示,該公司的設(shè)備由約 5,000 家供應(yīng)商提供的約 380,000 個(gè)組件組成。
臺(tái)積電和阿斯麥等公司為其供應(yīng)商設(shè)立了教育培訓(xùn)。他們還設(shè)置了警報(bào),這有助于支持通常沒(méi)有大型安全小組的小型供應(yīng)商。
標(biāo)準(zhǔn)
NIST 網(wǎng)絡(luò)安全框架為建立組織自己的實(shí)踐提供了指導(dǎo)。還有多個(gè) ISO 標(biāo)準(zhǔn)(例如 ISO 17001、27110),但它們側(cè)重于信息安全。此外,這些通用標(biāo)準(zhǔn)并不容易適用于安裝了外部設(shè)備的復(fù)雜工廠環(huán)境。
尤其是工廠,包括高價(jià)值目標(biāo)、高復(fù)雜性以及歷史上不愿更新工廠設(shè)備的組合。這種結(jié)合使得晶圓廠和代工廠特別容易受到安全問(wèn)題的影響,促使臺(tái)灣和北美的 SEMI 成員推動(dòng)與設(shè)備相關(guān)的行業(yè)特定標(biāo)準(zhǔn)。SEMI 的兩個(gè)工作組定義了工廠設(shè)備安全 — E187(臺(tái)灣)和 E188(北美)。這些標(biāo)準(zhǔn)包括:
SEMI E187:晶圓廠設(shè)備的網(wǎng)絡(luò)安全
晶圓廠設(shè)備的一套通用的最低安全要求,旨在由 OEM 為運(yùn)行 Linux 或 Windows 的晶圓廠設(shè)備實(shí)施;
專(zhuān)注于網(wǎng)絡(luò)安全、端點(diǎn)投影和安全監(jiān)控。
SEMI E188:無(wú)惡意軟件的設(shè)備集成
基于明確的報(bào)告要求,在設(shè)備安裝和維護(hù)活動(dòng)期間減輕惡意軟件攻擊的框架;
需要惡意軟件掃描和系統(tǒng)強(qiáng)化,以及檢查傳入軟件和針對(duì)已知漏洞的補(bǔ)丁。
Peer Group 營(yíng)銷(xiāo)總監(jiān) Doug Suerich 表示:“這兩個(gè)標(biāo)準(zhǔn)是互補(bǔ)的。”?“SEMI E187 旨在確保設(shè)備在首次出廠時(shí)的設(shè)計(jì)和配置達(dá)到安全性和可維護(hù)性的基線水平。SEMI E188 更深入地探討了 SEMI E187 的主題子集,特別是提供了有關(guān)降低設(shè)備安裝和后續(xù)現(xiàn)場(chǎng)支持期間將惡意軟件引入工廠的風(fēng)險(xiǎn)的要求。標(biāo)準(zhǔn)團(tuán)隊(duì)將致力于進(jìn)一步擴(kuò)展不同的 SEMI E187 主題?!?/p>
這些標(biāo)準(zhǔn)正在推出,制造商對(duì)新安裝的設(shè)備也提出了要求。
評(píng)估
安全評(píng)估用于了解供應(yīng)商的安全級(jí)別。結(jié)果可用于影響采購(gòu)并確定供應(yīng)商的改進(jìn)措施。臺(tái)積電的屠指出了該公司對(duì)供應(yīng)商進(jìn)行評(píng)分的流程,其中包括第三方在線評(píng)估以及涵蓋以下領(lǐng)域的 135 個(gè)問(wèn)題的自我評(píng)估:
認(rèn)證和風(fēng)險(xiǎn)評(píng)估;
庫(kù)存管理和物理安全;
網(wǎng)絡(luò)安全事件檢測(cè)和響應(yīng);
系統(tǒng)開(kāi)發(fā)及應(yīng)用安全;
網(wǎng)絡(luò)安全和變更管理;
組織政策和人力資源保障;
計(jì)算機(jī)操作和信息管理,以及
身份和訪問(wèn)管理。
所有主要半導(dǎo)體制造商都表現(xiàn)出色,并為客戶(hù)填寫(xiě)評(píng)估。但要求每家公司都有自己的評(píng)估會(huì)讓整個(gè)行業(yè)陷入困境?!拔覀儗?duì)行業(yè)進(jìn)行了各種安全評(píng)估,”ASML 的 Reijmer 說(shuō)道。“我們還不知道我們已經(jīng)在供應(yīng)鏈中推出了什么。如果我們讓它變得過(guò)于復(fù)雜,如果我們對(duì)其進(jìn)行過(guò)度設(shè)計(jì),那么我們就無(wú)法找到解決方案。”
其他人也同意。“我有 15 個(gè)人全職做這件事,他們回答了問(wèn)題,這樣我就可以銷(xiāo)售我的產(chǎn)品,”英特爾 CISO 布倫特·康蘭 (Brent Conran) 說(shuō)。“如果我把這些精力投入到實(shí)際的網(wǎng)絡(luò)安全工作中會(huì)怎樣?這不是更好的方法嗎?每個(gè)人都應(yīng)該考慮到,過(guò)去 20 年所做的事情可能還不夠,因?yàn)槲覀內(nèi)绱藬?shù)字化,而且發(fā)展如此之快?!?/p>
此外,評(píng)估缺少與恢復(fù)和復(fù)原力相關(guān)的關(guān)鍵屬性?!拔覀兊呐εc降低風(fēng)險(xiǎn)之間沒(méi)有關(guān)聯(lián),”應(yīng)用材料公司首席信息安全官 Kannan Perumal 說(shuō)道?!拔覀冇泻芏嗍虑榭梢詭椭鉀Q這個(gè)問(wèn)題,但我們?nèi)匀辉诳嗫鄴暝?,因?yàn)槲覀冇羞@么多供應(yīng)商,而我們只能利用可用資源做這么多?!?/p>
佩魯馬爾指出,半導(dǎo)體供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估缺乏標(biāo)準(zhǔn)。因此,每家公司都有自己的評(píng)估,由其供應(yīng)商的安全團(tuán)隊(duì)(如果他們有專(zhuān)門(mén)的團(tuán)隊(duì))執(zhí)行,這使其成為一項(xiàng)資源密集型任務(wù)。此外,評(píng)估并不關(guān)注所有重要的事情,例如恢復(fù)和復(fù)原力。
與半導(dǎo)體行業(yè)一樣,汽車(chē)行業(yè)也需要管理大量供應(yīng)商。佩魯馬爾研究了這兩個(gè)行業(yè)如何解決安全問(wèn)題。這一比較證實(shí)了幾位 CISO 所強(qiáng)調(diào)的觀點(diǎn):芯片行業(yè)需要高效的框架、通用標(biāo)準(zhǔn)和第三方認(rèn)證小組來(lái)管理流程。
圖 2:供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理比較
呼吁合作
對(duì)于半導(dǎo)體行業(yè)來(lái)說(shuō),由于深度的相互依賴(lài)性,超越公司邊界的保護(hù)是必要的。由于操作復(fù)雜且安全問(wèn)題的切入點(diǎn)較多,因此需要共同努力才能使其有效且經(jīng)濟(jì)。正如英特爾的 Conran 恰當(dāng)?shù)卣f(shuō):“我們無(wú)法獨(dú)自完成這件事。我們所有人都需要齊心協(xié)力,在整個(gè)供應(yīng)鏈中開(kāi)展工作,并了解我們必須做的許多事情,才能保持這臺(tái)機(jī)器的運(yùn)轉(zhuǎn)。”
推進(jìn)網(wǎng)絡(luò)安全合作不僅涉及同意標(biāo)準(zhǔn)和行業(yè)認(rèn)可的供應(yīng)商評(píng)估流程。它還需要加入主要半導(dǎo)體工廠和設(shè)備供應(yīng)商的專(zhuān)業(yè)知識(shí)。通過(guò)這樣做,行業(yè)可以盡快學(xué)習(xí)以應(yīng)對(duì)常見(jiàn)威脅。為了實(shí)現(xiàn)這一級(jí)別的協(xié)作,SEMI 正在組建網(wǎng)絡(luò)安全聯(lián)盟。
編輯:黃飛
?
評(píng)論
查看更多