• 晶片資安第一站

資安標準小百科

編輯台
Posted by 編輯台
2022-07-28

《晶片安全縱深防禦策略指引》一張圖搞懂晶片資安多面向防禦

資通訊科技經過數十年的發展,資安攻防的戰場終於由軟體安全逐漸走向了硬體 資安威脅的挖掘而主宰各種系統運行的硬體晶片,其安全性成了備受關注的焦點。 晶片安全縱深防禦(Defense in Depth DiD)是可以視為容器,概念上晶片居於容器的核心,核心外的每個區域都專注於特定方面的保護 ,例如測試介面保護、韌體安全、錯誤注入及旁通道攻擊保護、防範硬體木馬之安全設計驗證 、以及防範實體逆向工程攻擊等面向。 從本質上而言,晶片安全縱深防禦是一種多管齊下的保護策略。晶片在安全方面實作深度防禦後,也同時實現了可靠性和彈性,即晶片抵禦各種攻擊的能力 在發生資安事件後,同時也可以降低對系統所提供服務的影響...

Read More
編輯台
Posted by 編輯台
2022-07-28

《晶片安全管理指引》三大面向落實晶片供應鏈管理

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫 現代晶片通常由複雜且散布在全球的供應鏈接力完成設計、製造、測試和組裝等一系列工作,例如:單個電腦晶片的生產通常需要 1,000 多個步驟,並經過 70 次或更多次的國際邊境跨越才能到達最終客戶手裡,而一家半導體公司可能在全球擁有超過 16,000 家供應商。 半導體供應鏈的複雜性程度,雖然透過全球市場分工大幅降低成本,但同時也提供攻擊者許多機會,如以偽冒的電子產品零件流入市場、在電路中置入木馬、竊取知識產權和逆向工程等。由於網路入侵、惡意的內部人員和經濟間諜活動無孔不入,勢必將威脅各種以晶片安全運作為核心的應用,帶來難以 預...

Read More
編輯台
Posted by 編輯台
2022-07-11

晶片型硬體木馬怎麼分?6大類35項一次看懂

撰文:資策會資安所網駭中心晶片安全技術組 木馬程式於資訊產業中,是用於描述使用偽裝來隱藏其真實目的惡意軟件。因其無自行複製與感染文件,主要目的通常是透過觸發該木馬程式,藉由該程式繞過系統的即有安全防護,輸出、輸入、執行特定軟體或資料,俗稱後門。 硬體木馬則有別於常談論的木馬程式(軟體),是於CPU中,嵌入實體電路邏輯閘的方式,使用特定觸發機制來取得執行權限。 硬體木馬可被定義為:被故意植入電子系統中的特殊模塊以及電路,或者設計者無意留下的缺陷模塊以及電路,這種模塊或電路平日中潛伏在原始電路之中,在特殊條件觸發下,該模塊或電路能夠被攻擊者利用,以實現對原始電路進行有目的性的修改,以及實現破壞性功...

Read More
編輯台
Posted by 編輯台
2022-05-19

《晶片安全風險評估指引》十大風險評估步驟 掌握晶片安全

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫 晶片為現代的戰略物資,並在全球成為一項不可或缺的資源。同時,隨著科技進步,晶片受到濫用並產生威脅的風險也大幅增加。針對晶片可能會有許多不常見,但背後可產生相當程度之損失的攻擊。 透過此風險評估指引,可針對晶片進行風險分析,在風險評估過程中,藉由資產識別、運行環境理解可能的弱點、威脅及攻擊介面,並以本指引所提供的方法論,量化出風險等級,以確立可忍受之風險程度。 晶片安全風險評估介紹 諸如微型控制器、處理器及無線連接裝置等積體電路,容易在各種使用環境中受到威脅,當元件在不信任的環境狀態下運行,可能成為威脅代理人(threat a...

Read More
姸文 王
Posted by 王姸文
2022-03-15

工控資安標準 IEC 62443 導入經驗談

口述:漢德資深技術經理 林正偉/整理:曾華銳 IEC 62443 標準概況 IEC 62443是一個很龐大的標準,轄下有非常多的子標準。那它又可以分成四個子章節。目前台灣標檢局也正在積極針對這些標準進行解讀,並且各位有可能在接下來會看到相關標準在台灣發行。 除此之外,IEC 62443 仍有相當的部分尚未完成、發行。因此未來幾年內在工控資安領域,各位還可以看到非常多的標準陸續公告出來。 導入經驗:資產擁有者 就如同前面提到的 IEC 62443 是很大的一套標準;其中的子章節針對不同的角色,有各自適用的部分。 第一個是資產擁有者。所謂的資產擁有者就是場域的擁有者,比方我擁有一座工廠、一個電廠或...

Read More
姸文 王
Posted by 王姸文
2022-03-15

落實工控網路安全標準,大步邁向工業4.0

口述:立德技術經理 李培寧/整理:曾華銳 為什麼企業需要資安標準? 過去我們在業界看到的情況就是,大多數企業、組織的防護方案都側重於技術面。問題是,一封足夠精緻的釣魚信件就有可能繞過這一切的監控阻攔。因此,網路安全並不能單靠技術解決。再者,如果沒有一個好的程序,企業沒有辦法確認這些技術面/安全機制是否都有確切執行;至於人的部分,如果他們如果沒有相對應的知識,他們也沒有辦法提升網路安全水準。 因此,如果用「木桶理論」來比喻的話,要做好資安,我們可以歸類出三個重點:首先就是技術面,再來是程序面,最後就是人。這三件事情決定了「資安」這個水桶它能裝多少水。而透過標準,我們用有效率而且正規的做法,透過量...

Read More
姸文 王
Posted by 王姸文
2022-03-15

油水電基礎設施場域資安關鍵:IEC 62443 你一定要知道

口述:資策會資安所副主任 高傳凱/整理:曾華銳 IEC 62443 是什麼樣的安全標準? IEC 62443的規範範疇專注於 ICS,也就是自動化控制系統。早期 ICS 只用於化學、電器這類工業開發、製造過程;但隨著應用領域逐漸擴張,如今它也成為油、水、電等等的關鍵基礎設施核心。 為什麼我們要開始關注 OT 資安? 以往的資安標準都專注在 IT 領域,像是後台機房或雲端網路。然而,這些經驗與標準無法移植到 OT 資安,因為兩者抱持的理念與面對的情境並不相同。 比如說 OT 系統更注重可用性且設備壽命相當長,因此我們無法直接使用 IT 資安的控管方式。再者,若是 IT 資安遭遇威脅,通常只會產生...

Read More
編輯台
Posted by 編輯台
2021-11-29

《晶片安全設計最佳範例》2大做法,保護ACE抵抗旁通道攻擊

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫 積體電路(Integrated Circuit, IC)對安全特性的要求越來越高,包括採用進階加密標準(Advanced Encryption Standard, AES)、RSA (Rivest Shamir Adleman)、橢圓曲線加密(Elliptic Curve Cryptography, ECC)等加密技術,然而,如果晶片受到物理攻擊,這些加密演算法的硬體實作可能會失去安全性。 旁通道攻擊(Side-Channel Attack, SCA)與錯誤注入攻擊都可能被用來破解各種加密演算法以取得敏感資訊,本篇內容將討論...

Read More
編輯台
Posted by 編輯台
2021-11-25

《晶片安全實現指引》從位元流到FPGA自身的全方位防禦手段

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫 晶片安全實現指引主要分析 FPGA 的 IP 位元流在 FPGA 的合成流程中,各個階段可能面臨的威脅,包含來自外部不可信任的使用者,及內部設計與合成流程中所經手過的單位,並介紹各種常見的反制措施。 現場可程式化邏輯閘陣列(Field Programmable Gate Array,FPGA)是擁有製程後程式化能力的積體電路。由於其可重配置特性、低開發成本與高效能,其應用範圍涵蓋消費性電子產品到高端商業系統。 配置在FPGA的程式屬於二進制檔案的形式,又稱位元流,亦是惡意攻擊的一大標的。因此,如何保護位元流的機密性與完整性,...

Read More
姸文 王
Posted by 王姸文
2021-11-01

軟體安全建構成熟度模型 BSIMM 概論

當企業採購了資安防護方案、設置資安管控流程,該如何評估成效?對於瞬息萬變的網路安全領域來說,很難存在一種恆定不變的評估標準。或許,我們可以換一個角度來思考這個標準:當你的同業都做了這些資安實踐,通常代表你也應該這麼做。 基於這樣的思維,我們有了軟體安全建構成熟度模型(Building Security In Maturity Model,BSIMM)。 什麼是 BSIMM? BSIMM 是一款由新思科技(Synopsys)推出的軟體安全建構成熟度模型,用以讓企業評估自身資訊安全計畫當前的成熟度。從 2008 年開始,新思科技就持續對各領域企業進行調查研究與數據採集工作,並據此建構軟體安全框架(...

Read More
alfred
Posted by alfred
2021-09-30

BSIMM是什麼?

Building Security In Maturity Model(BSIMM)是由美國電子設計自動化(EDA)、晶片 IP 供應大廠新思科技(Synopsys)推出的軟體安全建構成熟度模型,用以反映企業因應資安趨勢與調整的軟體安全策略表現。 BSIMM  是一套不斷發展的軟體安全構建成熟度模型,能幫助企業規劃、執行、評估並完善琪軟體安全計畫,至今已超過200家公司進行逾500次評估。 最新版 BSIMM 12 將軟體安全框架分為  4  大領域、12 模組與 122 實踐項目,並收錄來自涵蓋金融服務、金融科技、獨立軟體供應商 (ISV)、雲端、醫療保健、物聯網、保險及零售等產業等不同領域...

Read More
姸文 王
Posted by 王姸文
2021-11-01

CMMC 五大等級解析

CMMC 驗證計劃的每個等級,都有其相應的防護目標;具體來說,承包商將依照其認證等級,準備相關控制措施來保護聯邦合約資訊(Federal Contract Information,FCI)乃至於受控的未分類資訊(Controlled Unclassified Information,CUI),甚至是削減進階持續威脅 (APT) 的風險。 級別 1 – 保護聯邦合約資訊 (FCI)、 級別 2 – 過渡以保護受控非機密資訊 (CUI)、 級別 3 – 保護 CUI、 級別 4 和 5 – 保護 CUI 並降低 APT 風險。 CUI 與 FCI 不...

Read More
姸文 王
Posted by 王姸文
2021-11-01

網路安全成熟度模型認證 CMMC 概論

2020 年,美國國防部(DoD)宣布,將會要求部份競標的承包商依據專案的機密性,具備相應等級之《網路安全成熟度模型認證 》(Cybersecurity Maturity Model Certification,CMMC);預計到 2026 年,美國國防部的所有採購合約都將包含 CMMC 認證要求。 然而,這跟台灣有什麼關係?原來,CMMC 除了規範直接承包 DoD 的合約廠商之外,為了防範供應鏈攻擊,也進一步規範了第二線供應商的網路安全成熟度。也就是說,台灣廠商若是位於分包商之列,就必須為相應層級的 CMMC 認證做好準備;否則,未來只會被排除在名單之外,或是只能承接安全層級較為基礎的合約。...

Read More
alfred
Posted by alfred
2021-11-04

CMMC是什麼?

鑒於美國整體每年平均因網路安全所造成的損失達6000億美元,2020 年美國國防部宣布,將逐步要求從武器到皮革工廠的供應鏈承包商依據專案機密性不同,須具備相應等級之《網路安全成熟度模型認證 》(Cybersecurity  Maturity   Model   Certification,CMMC);預計到 2026 年,美國國防部的所有採購合約都將包含 CMMC 認證要求,影響廠商家數達30萬家。 CMMC  是一套以 NIST SP 800-171  為基礎,並混合其他法規、標準的認證機制,涵蓋從「基本網路安全衛生」到「進階/漸進」等五個成熟度級別,與過去最大不同為  CMMC  認證需經...

Read More
姸文 王
Posted by 王姸文
2021-11-04

什麼是SESIP?

當晶片大量與物聯網對話,面對未來可能發生的資安威脅,如何從初始起,就納入安全思維?有什麼資安標準可以依循?答案是SESIP。 隨著聯網裝置蓬勃發展,SESIP(Security Evaluation Standard for IoT Platforms)是用於評估物聯網元件和連接平台共同準則(ISO 15408-3)的最佳化版本,資安標準重要性也備受凸顯。 GlobalPlatform 發布的IoT平台安全評估標準 SESIP,定義了 IoT 平台安全性的可信賴評估標準(standard for trustworthy assessment of the security of the IoT...

Read More
alfred
Posted by alfred
2021-11-04

SESIP是什麼?

SESIP重新定義了 IoT 平台安全性的可信賴評估標準。 Security Evaluation Standard for IoT Platforms(SESIP)是由 100餘家大型企業、政府組織,如 Apple、 ARM、NXP、意法半導體、Qualcomm、Winbond、美國國防部等成立的GlobalPlatform所發布,主要用於評估物聯網元件和連接平台共同準則的安全規範,以促使企業在建構數位服務和設備時,在其產品的整個生命週期內,能得到信任和安全管理的公認國際標準。

Read More
姸文 王
Posted by 王姸文
2022-03-15

工控資安標準 IEC 62443 導入經驗談

口述:漢德資深技術經理 林正偉/整理:曾華銳 IEC 62443 標準概況 IEC 62443是一個很龐大的標準,轄下有非常多的子標準。那它又可以分成四個子章節。目前台灣標檢局也正在積極針對這些標準進行解讀,並且各位有可能在接下來會看到相關標準在台灣發行。 除此之外,IEC 62443 仍有相當的部分尚未完成、發行。因此未來幾年內在工控資安領域,各位還可以看到非常多的標準陸續公告出來。 導入經驗:資產擁有者 就如同前面提到的 IEC 62443 是很大的一套標準;其中的子章節針對不同的角色,有各自適用的部分。 第一個是資產擁有者。所謂的資產擁有者就是場域的擁有者,比方我擁有一座工廠、一個電廠或...

Read More
姸文 王
Posted by 王姸文
2022-03-15

落實工控網路安全標準,大步邁向工業4.0

口述:立德技術經理 李培寧/整理:曾華銳 為什麼企業需要資安標準? 過去我們在業界看到的情況就是,大多數企業、組織的防護方案都側重於技術面。問題是,一封足夠精緻的釣魚信件就有可能繞過這一切的監控阻攔。因此,網路安全並不能單靠技術解決。再者,如果沒有一個好的程序,企業沒有辦法確認這些技術面/安全機制是否都有確切執行;至於人的部分,如果他們如果沒有相對應的知識,他們也沒有辦法提升網路安全水準。 因此,如果用「木桶理論」來比喻的話,要做好資安,我們可以歸類出三個重點:首先就是技術面,再來是程序面,最後就是人。這三件事情決定了「資安」這個水桶它能裝多少水。而透過標準,我們用有效率而且正規的做法,透過量...

Read More
姸文 王
Posted by 王姸文
2022-03-15

油水電基礎設施場域資安關鍵:IEC 62443 你一定要知道

口述:資策會資安所副主任 高傳凱/整理:曾華銳 IEC 62443 是什麼樣的安全標準? IEC 62443的規範範疇專注於 ICS,也就是自動化控制系統。早期 ICS 只用於化學、電器這類工業開發、製造過程;但隨著應用領域逐漸擴張,如今它也成為油、水、電等等的關鍵基礎設施核心。 為什麼我們要開始關注 OT 資安? 以往的資安標準都專注在 IT 領域,像是後台機房或雲端網路。然而,這些經驗與標準無法移植到 OT 資安,因為兩者抱持的理念與面對的情境並不相同。 比如說 OT 系統更注重可用性且設備壽命相當長,因此我們無法直接使用 IT 資安的控管方式。再者,若是 IT 資安遭遇威脅,通常只會產生...

Read More
This site is registered on wpml.org as a development site.