對於國內半導體與相關製造產業而言,每年第四季的「SEMCON TAIWAN 國際半導體展」可說是年度盛事,致力於資安服務的SECPAAS平台也在今年的展期(9月23日到9月25日)於南港展覽館一館設置資安主題館(攤位編號:K3168),規劃了一系列的豐富講座與活動,邀集SECPAAS平台上的資安廠商到現場展出自家服務,並透過 Pitch Show、資安小聚…等講座論壇,為現場業者與參觀者帶來第一手的資安趨勢與不可不知的資安防護解決方案。
文章目錄
此外,還有「企業資安成熟度評級服務」記者會與推展「CISO 工作坊」的成果發表,豐富的內容都在這一篇報導文章裡面。
資安小聚:聚焦 5G 通訊、供應鏈管理與 OT 領域的資安熱門話題
今年工研院在SECPAAS資安館推出了三場不同主題的「資安小聚」活動,規劃了時下最為流行的資安熱門話題,包括由華邦電子與奇景光電帶來「5G 應用與新興資安規範」,台積電與 TeamT5 帶來「供應鏈資安管理」,另外也有盟立自動化與椰棗科技針對「OT x 資安怎麼搞」所帶來的深入解析。
在展期首日的第一場資安小聚活動中,工研院技術副理王子夏博士與華邦電子陳宏瑋行銷處長和奇景光電黃育群經理為大家深入探討今年受到大家關注的「5G 資安」議題。針對 5G 時代的物聯網環境,以記憶體 IC 設計、製造與銷售聞名的華邦電子提到,目前在記憶體 IC 產品中也有許多已經整合資安機制的產品,像是在車聯網應用中,就有車輛、基礎建設與運算單位相互連結的複雜機制,其中就會需要內建安全性防護的晶片;此外,在日常生活中會儲存各類型資料的儲存晶片,因為牽涉到的內容可能非常敏感,也因此儲存晶片也需要資安防護的創新應用。
奇景光電近期跨足 AI 應用,經理黃育群也在現場介紹了他們首款面向智慧家庭與智慧城市應用的低功耗邊緣運算晶片,同時兼具了省電與高運算能力,也因為涉足各類型感測器所蒐集的影像資料,因此在晶片內整合了資安防護機制,並在產品研發同時,考量到相關資安機制移轉至客戶端時,是否有漏洞會造成危害,因此他們也透過了 SECPAAS 資安整合服務平台獲得專業的資安諮詢。
工研院王子夏博士提到,5G 時代最受大家關注的就是「高傳輸、低延遲與廣連結」三大特性,因此在垂直應用上的自動製造、醫療與無人載具…等,都受到許多企業的期待,但相對的,這些領域中也有不少資安危害的案例頻傳;而奇景光電的黃經理也提到,以智慧家庭應用為例,晶片進行邊緣運算時,產品研發時也會考量實際應用場景,來決定資安防護的層級可能會設定於本地端的晶片,例如若有是 AI 運算的應用,則需要進一步考慮與雲端主機連結時傳輸介面、傳輸埠的防護。
華邦電子行銷處長陳宏瑋表示,物聯網在資安防護上另一個容易被大家忽視的就是「認證」,無論是研發何種應用的解決方案,都需要通過更嚴謹的認證流程,尤其產品需要全球銷售-特別是歐洲、美國市場,都會需要符合國際市場的安全認證才能合法銷售,而且無論是針對哪一類垂直應用的資安認證,都會有至少 8 成的資安需求會是相同的,對於廠商而言,產品先能滿足這 8 成的資安防護標準,再針對不同應用面來補足剩下的需求,才會是真正確保合規且符合成本效益的做法。
活動第二日的資安小聚邀請到工研院副組長卓傳育博士、台積電部經理兼 SEMI 資安小組主席張啟煌與 TeamT5 執行長蔡松廷為大家分享有關於供應鏈的資安話題。TeamT5 執行長蔡松廷同時也身兼台灣駭客協會(HITCON)創始成員及首任理事長,一直積極推廣資安防護意識,並研究來自於全球各地的資安威脅並進行追蹤,不過由於近年來政府與企業單位對於資安的防護意識更高,建置相關設備、團隊的預算也更為提升,因此駭客攻擊的難度更高,也因此將攻擊目標轉向於這些單位的供應商,因為這些企業多半會信任這些供應商的服務,像是協助代管 VPN、Rounter 等網通服務的公司,也因此這些駭客透過攻擊這些供應商來達到取得企業單位內部權限的目的;另外也有像是攻擊軟體的更新伺服器,作為置入惡意程式管道,一次滲透成千上萬的電腦的實際案例。
延續蔡松廷執行長所談及的供應商受攻擊的趨勢,台積電張啟煌部經理提到,由於與台積電配合的供應商為數眾多,因此也非常重視這些供應商的資安防護層級,而台積電也透過例行性的評鑑方式,來協助供應商了解自己的資安弱點,而國外的做法通常會透過問卷方式讓供應商自評資安實力;此外,透過第三方以客觀角度來剖析供應商的資安等級,並藉由這樣的量化評析,進一步訂定供應商需要達到的資安標準、如何進一步規劃改進方案,甚至透過電子報與供應商分享資安常識與注意事項,以成為和供應商正向互動的方式。
TeamT5 執行長蔡松廷也提到,針對供應商資安防護,除了注意是否有符合標準的認證之外,也需要進一步了解資安漏洞回報之後的修復速度,若是對於資安防護更新的效率不足,對於企業而言也需要格外注意是否會成為另一個潛藏的資安隱患。
活動第三日的資安小聚請到了工研院資深經理徐富桂、盟立自動化副總經理蔡育才與椰棗科技副總經理賴冠州為大家分享有關於「OT(Operational Technology)」領域的資安防護實務議題,由於 OT 包括了大量的物聯網設備來蒐集數據,藉此作為控制與監控設備與流程的依據,同時也需要與 IT 系統相互整合,因此資安防護更是不容忽視。
工研院資深經理徐富桂提到,工研院所推廣的 SECPAAS 資安整合服務平台,正是為了應用 OT 與 IT 技術的企業而生的重要服務,也集結了台灣超過 50 家、70個以上的解決方案,提供給相關廠商更豐富的資源。盟立自動化副總經理蔡育才目前也針對 OT 與 IT 應用提供了非常多樣化的自動化解決方案,公司所提供的整合服務非常多元,依據不同面向的五大服務可提供「工業 4.0」的所有需求提供一條龍的服務,為了確保相關設備的服務在佈建到客戶端時,不會因為發生異常時而影響到客戶原有的生產環境,盟立自動化也將所有工業 4.0 的規劃藍圖中加入了資安防護的環節。
椰棗科技副總經理賴冠州提到,公司的本業就是專注於 OT 資安防護的相關服務,並專注於自動化工廠的產業,他也提到過去許多傳統工廠的機台因為沒有連網的需求,因此作業系統多半不會更新,但在轉型自動化之後,系統有連線需求,自然就不能忽視資安防護,以避免因為資安威脅而影響到工廠的生產力,而這些傳產在轉型時的資安需求規模,其實並不亞於指標型的科技大廠,簡而言之,OT 的資安防護對於企業而言,等於是守護生產力不可或缺的一大關鍵。
SECPAAS 平台 8 大資安廠商聯手打造「Pitch Show」告訴你不可不知的資安趨勢
對於企業來說,網路科技固然成為提升生產效率的重要方式,但隨之所產生的資安威脅也是不可忽略的重要課題,但對於企業而言,除了相關問題的評估與了解,更重要的還是要進一步了解「解決方案」有哪些。而今年SECPAAS資安館就規劃了四個場次的「Pitch Show」,邀集平台中的 8 間資安廠商,不僅帶來知名的資安案例與最新的資安防護趨勢,同時也在最短時間內快速介紹最適合各類型廠商導入的資安服務,讓參與者在短時間內資安功力大增!
資安成熟度評級暨 CISO 工作坊發表會:助企業打造「鑽石級」A 級資安水準、培育企業「資安長」打造國際級資安信譽環境!
隨著台灣的供應鏈已漸漸走向以物聯網與數位工具所架構的自動化生產流程,避免駭客透過惡意程式、勒索病毒或後門漏洞攻擊而造成生產力停擺的問題,經濟部工業局的新興物聯網資安示範推動計劃推出「企業資安成熟度評級服務」,參考國際資安標準包括 IEC 62443、NIST SP 800-82、ISO/IEC 27001、SEMI E6506 …等,其架構包括「管理能力」、「防禦能力」、「偵側能力」「反應能力」四大能力指標,總計多達 17 個評估模組共 190 個題庫,可以透過這套服務讓企業進行自我診斷,並以量化的五個等級,讓企業理解目前自身所屬於資安成熟度,並依據結果與國內次安專家進行聯合診斷,以進行後續資安補強,不僅讓企業輕鬆提升資安決策效率,也能讓在地企業輕鬆與國際資安防護標準接軌。
除了企業整體資安評估與決策協助,工研院也將以目前擁有多達 50 間台灣在地資安廠商資源的 SECPAAS 資安整合服務平台為基礎,提供「CISO工作坊」,定期與企業進行實務交流,分享資安管理與防禦實務經驗,以提供企業資安長能夠找到依據企業現況下最符合需求的資安解決方案。
若您對工研院推出的資安服務有興趣,想進一步了解更完整的「企業資安評級服務」機制,歡迎參考:https://secpaas.org.tw/
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!