半導體設備面臨的挑戰
控制設備上的安全防護通常是被忽略的一環,也是最無計可施的對象。由於IT與IoT先天工作環境與營運目標的差異,對半導體產業而言,無法直接適用PC 上所提供的工具及解決方案。通常廠房購置的特殊生產設備,為降低在運作過程中,受到外在因素干擾的可能性,供應商大多不願意在設備上,安裝安全防護之類的軟體。再加上運作環境封閉,作業系統及防毒軟體等,無法即時更新修補和升級。綜合以上原因,使得這些設備存在著各種未修正弱點於一身。當然,這些設備的設計目標都是為了生產力,重視的技術指標當然是效能與正確性,資安防護這方面往往不會被重視。
因應這樣的困境,推動半導體業,對設備的資安防護提出具體要求,落實到系統供應鏈各方面,提供對應而合規的設備與服務。SEMI國際半導體協會將以六大範疇:作業系統、網路安全、端點防護、安全監控、認證管理及應用安全,擬定標準規範草案撰寫。該草案由臺灣主導的標準範疇重要性極高,同步受到美、日雙方資安標準工作小組高度關注,及積極共同參與研擬。精品有幸也參與在內,專注端點防護、安全監控、應用程式安全等領域標準草擬。
標準制定對設備上資訊安全的要求,於設備供應商及使用方、甚至第三方都會有一定程度影響。例如,End Of Service 的作業系統,並非全然掌握在設備供應商手上。有弱點不一定會被攻擊,只要保證不曝險,就可將傷害降至最低。我們開始思考設計,要如何在無法取得更新的情況下,還可以有效防護設備? 標準內雖然是要求該設備機的自我防護能力,但受限於主客觀條件難以滿足時,也應認同這些防護可以由邊境設備所提供。
舉例來說,預防火災,我們會在建築內使用防火牆與防火門。廠區內可將一台或多台機台設備以實體方式隔離,人員無法直接接觸到這些設備;在這些設備外架設防火牆與一台「獨立」的電腦可連線至被隔離的設備,透過這台(可更新作業系統、安裝防毒軟體等)獨立的電腦來完成的檔案交換,有效達到內外隔離的效果。
應用程式安全
對半導體設備供應商而言,控制設備上的保護不單單是防駭、防入侵而已,更要確保設備上的內建控制程式正常運作。在與業界夥伴實務合作經驗淬鍊下,精品發展了更確實有效的方案。完美整合了端點防護、安全監控、應用程式安全等領域的要求。以下為一設備商要求的技術解決方案:
※該廠商為開發原廠,保護機台皆為Windows 7以上OS
- 指定的(白名單)應用程式才能執行,限制其它程式安裝、執行
- 指定的檔案格式只能被指定的應用程式存取,防止非預期的程式開啟檔案
- 關機、卸載後,保護區內檔案自動被加密
- 限制應用程式可以存取的資料夾
- 限制應用程式可以連線的目的地
- 限制本機帳號及權限異動:防止利用本機帳號取得更高權限
- 設定組態異動管理:如防止IP 、註冊機碼變更
- 持續監控與事件記錄:監視程式執行、檔案存取及使用者操作活動,並予以記錄
- 維護模式驗證機制:維護服務人員通過驗證後,始可瀏覽、更換、覆蓋、受保護的檔案;以防止未經授權異動原有檔案
這些控制管理手段原主要目的,是為了保護出貨的設備上程式,在未經授權的情況下,被竄改破壞;甚至取出對其逆向工程。不過我們反思一下,這些行為與惡意程式、勒索軟體的運作過程類似,所以一樣對防止惡意存取破壞有一定效果。
以上技術會因為設備的不同而有所差異,要在不影響設備運行下,盡可能採取迴避、隔離、限制、監控、記錄等的多道防線,有效建立安全環境。