勒索病毒鎖定製造業、高科技產業，供應鏈聯防可有效減少攻擊弱點

SEMICON TAIWAN在10月21和22日兩天，以全球網路安全為主題，舉辦了線上資安趨勢高峰論壇，由台積電企業資訊安全處長屠震，和鴻海研究院執行長李維斌，擔任主題演講嘉賓，同時會議中還有來自思科、微軟和工研院等業界菁英和頂尖學者，分享組織應對攻擊事件，以及安全工作的經驗。

國際半導體產業協會（SEMI）作為全球化半導體產業，連結全球電子設計和製造供應鏈的組織，在全世界正在適應COVID-19疫後新常態的時代，台積電（TSMC）企業資訊安全處處長，同時也是SEMI臺灣資安委員會主席屠震認為，資安議題應該被更加重視，尤其是當前駭客鎖定高科技產業工廠，已成為近年來的趨勢。

為因應產業界對資安的需求，SEMI於6月在臺灣成立第一個資安委員會，推動資安創新和發展。SEMI資安委員會主席屠震表示，委員會主要有4項目標，首要任務是提供參照架構和解決方案，推動資安標準，在最初的規畫，會先針對晶圓廠設備安全控制的需求著手，預計將會在2021年底推出。第2項是要提升資安意識，第3則是提供有效的方法評估網路安全態勢，最後一項是要根據NIST標準，建立SEMI供應鏈網路安全風險評估框架，使企業能夠依循框架指引改進資安。

勒索病毒肆虐，製造業、高科技產業成目標

思科（Cisco）在2017年時，成了駭客的攻擊目標之一，其多位合作夥伴遭到勒索軟體重創，思科因此學習到深刻的一課。思科的外包硬體合作夥伴，除了PCB/ASICS廠商之外，還有倉儲服務等供應商，過去思科都僅對合作夥伴就安全法規進行稽核，但是在勒索病毒攻擊事件中，倉儲合作夥伴之一，甚至因為勒索軟體NotPeta的攻擊，導致系統下線一個月，這事件讓思科認知到，僅針對法規的稽核是遠不足夠的。

思科痛定思痛，調整對於合作夥伴的評估，多加入網路安全成熟度評估，透過網路安全問卷，計算合作夥伴的安全成熟度得分，並且生成網路安全報告卡，來掌握合作夥伴抵禦攻擊的能力。思科的網路安全問卷，是參考NIST網路安全框架中的製造檔案8183設計而成，總共40題，每個問題可獲得1.0到5.0分，而及格分數為4分。

網路安全報告卡紀錄合作夥伴的歷史安全得分，並列出合作夥伴強健與迫切需要改進的項目。思科資訊安全架構主管Jon Kenney提到，他們持續改進供應鏈生態系的安全成熟度，從2017年合作夥伴平均得分2.75，到了2021年平均得分已經達3.9。也就是說，藉由供應鏈成員的努力，整體供應鏈案權獲得顯著提升。

而睿控網安（TXOne）執行長劉榮太也根據2020年的資料指出，過去乏人問津的製造業，現在已經成為勒索病毒攻擊目標的第三名，勒索病毒攻擊不只會造成工廠停止運作，還可能造成工安問題，製造業必須要同時保護營運技術（OT）伺服器、OT應用程式、控制系統和智慧裝置，才能確保工廠運作安全。

針對半導體產業提升網路韌性的需求，他提出工業營運技術和控制系統5大網路韌性最佳實踐，對於工廠需要保護的重要部分，執行包括網路分割、虛擬修復、網路白名單、強化特定資產，並且以多層級的方式檢視裝置，以確保工廠不會受到各種類型的攻擊威脅。睿控網安是由趨勢科技，和工業通信網路供應商四零四共同成立，睿控網安才成立短短2年，就受到多家晶圓廠和車廠青睞。

勒索病毒APT化

勒索軟體肆虐，不少企業和政府單位，也像是思科的供應鏈廠商一樣紛紛中箭，微軟（Microsoft）亞太區首席網路安全顧問Abbas Kudrati則發出警告，在亞洲人為操作的勒索軟體，有急速上升的趨勢。

相對於人為操作的勒索軟體，過去較為人知的是商品型勒索軟體，其主要攻擊目標針對個人，並且採用預程式化的攻擊，但人為操作勒索軟體更像是APT攻擊，由攻擊者為目標量身打造，鎖定的標的更大，通常是一整個組織。

那企業如何避免遭到人為操作的勒索病毒攻擊呢？Abbas Kudrati提醒，企業可以從減少攻擊面下手，包括採用LAPS、MFA和RDP鎖定政策，並且在企業網路中設下門檻，阻擋勒索病毒橫向移動，更要採取積極的勒索病毒封鎖政策，或是行為監控解決方案。

除此之外，企業還必須要制定緩解計畫，從勒索病毒進入的環境、擴散途徑到執行目標，他建議企業，可以藉由回答What、Why、How、Who和When問題，以及量測標準，來制定詳細計畫，以阻斷各種病毒進入企業網路的可能性。

「沒有絕對的安全」但企業仍要做最好的準備

駭客攻擊防不勝防，企業不只要積極提高自身和供應鏈抵禦攻擊的能力，同時也必須設想企業網路遭到入侵的最壞情況，鴻海研究院（HonHai Research）執行長李維斌認為，企業要有「沒有絕對的安全」的認知。

之所企業面對的網路攻擊逐年增加，他進一步解釋，系統與裝置的連接性增加、新興科技的發展，再加上資安人才不足與網路安全技能缺乏等各種原因，使得企業要維持網路安全並不容易。

儘管如此，網路攻擊帶來的影響，不只是經濟和名聲的損失，甚至會有法律上的責任，他表示，維持網路安全，應是供應鏈夥伴共同的責任。因為駭客可能會藉由攻擊供應鏈中較弱的環節入侵，進而擴散至供應鏈中的其他企業。

企業可積極採取幾項行動，切斷供應鏈攻擊，第一企業必須要評估自身對於網路安全攻擊的準備，避免陷於自滿的假象中，第二則是要慎選合作廠商，第三為強化網路韌性，而更要的是，企業需要未雨綢繆，測試意外發生時的反應計畫。雖然與供應鏈合作夥伴，在網路安全和韌性上合作，既複雜成本又高，但是李維斌強調，網路安全風險所帶來的成本，更是超乎想像。

減少攻擊面，也是企業強化安全性的手段之一，但在這個全球化的時代，軟體外包卻增加了產品安全的不確定性。工業技術研究院（ITRI）前資通所所長闕志克指出，惡意軟體可能經由四種管道進入軟體中，第一是故意添加惡意程式碼，知名案例像是華為，第二則是開發商被駭，如同近期知名的SolarWinds事件，第三種是上游開源軟體被加入惡意軟體，最後一種是軟體存有漏洞，在執行時讓惡意軟體有機可乘。

闕志克提供了數項可以強化軟體嵌入式產品的方法，包括企業應該施行軟體開發最佳實踐，來降低軟體包含臭蟲的可能性，並且採用模糊測試（Fuzzing）技術，快速找出軟體臭蟲，又或是分析外來可能被加料的程式碼等。他認為，當前網路安全的方向，已經從強化企業IT安全，轉移到強化軟體嵌入產品的安全性，儘早發現並且移除軟體臭蟲，就能有效提升軟體安全性。

應用自動化工具加快企業回應駭客攻擊的速度

相較於攻擊者，企業處於被動防禦的角色，因此快速回應攻擊便能避免災情擴大，而自動化工具可以派上用場。為此，奧義智慧（CyCraft）提供人工智慧解決方案，透過端點保護、人工智慧自動化和威脅情報，來保護用戶的環境。奧義智慧創辦人叢培侃分享自家客戶的案例，在攻擊發生14分鐘內，完全不需要人工參與，人工智慧系統就可自動防禦並解決駭客攻擊，顯示人工智慧已經能在複雜的企業環境中，快速緩解攻擊事件。

亞太地區新思科技（Synopsys）軟體完整性集團客戶服務主管Ian Hall則建議企業，可以使用安全成熟度模型（Building Security In Maturity Model，BSIMM），從四領域十二個面向來評估軟體的安全性，找出可以改進之處外，他還提到，應用軟體安全倡議，企業能進一步強化軟體的安全性。軟體安全倡議包括實施政策即程式碼（Policy as Code），來自動化安全決策，他也鼓勵企業安裝自動化安全工具，以有效辨識和修復缺陷、漏洞和惡意程式碼。

SEMI即將於12月28日至30日於台北南港展覽館1館舉辦SEMICON Taiwan 2021國際半導體展，並首次規劃「資安」專區，針對駭客病毒、攻防演練、資安成熟度評估及產業標準，全面提升產業供應鏈資安。同時於展期間舉辦半導體供應鏈資安聯盟啟動儀式暨資安標準發佈會，也規劃資安真人大富翁、釣魚郵件小遊戲等提升產業從業人士的資安意識，完整呈現SEMI半導體資安供應鏈及重要發展方向。