• 晶片資安第一站

供應鏈資安怎麼做?情資、檢測、合規三位一體打開防護網

資通訊供應鏈的資安攻擊日趨頻繁,包括企業設備軟體、韌體的資安漏洞及因供應鏈管理缺失遭植入後門,或是社交工程攻擊等,使得企業營運中斷、資料外洩情況不斷。

為進一步探討供應鏈防禦研究,資策會由科法所、軟體院、資安所合辦「資安情蒐暨資安政策趨勢研討會—以半導體供應鏈為核心」,以「半導體產業供應鏈」為核心,分享美國、歐盟、日本半導體及資通訊產業近年來供應鏈資安威脅態勢、法制政策與合規機制,幫助企業快速掌握最新供應鏈資安議題趨勢,及早管理供應鏈資安風險。

包括資策會資安所所長何玲玲、資策會科法所副研究員阮韻蒨、海洋大學教授黃昱凱、資策會軟體院博士蔡坤成、資安所副主任蕭榮興、研究員鍾松剛、資深規劃師黃碧霞等也在今日共同出席分享。

對組織來說,最苦惱的威脅有哪些?根據日本獨立行政法人情報處理推進機構(IPA)調查「2022年十大資安威脅報告」中指出,遭受勒索軟體攻擊、以針對性攻擊的方式竊取機密資訊、濫用供應鏈弱點攻擊行為、以遠距辦公等新常態工作方式為目標的攻擊行為,與內部非法行為造成資料外洩,被列為最頭疼的威脅前五名。

科法所副研究員阮韻蒨指出,駭客攻擊目標已經從單一企業逐漸轉向整體供應鏈,尤其ICT供應鏈的資安議題環環相扣,國際上已經逐步將半導體納入國內重要戰略物資。海洋大學黃玉凱教授指出,風險是一個只要有概率就會發生的情況,因此風險辨識、風險評估與風險衡量的措施不能少。

此外,透過「情報蒐集」也能擴大資安防護力。軟體院博士蔡坤成建議,以自動化方式進行即時資安新聞、資安漏洞關聯分析等將能代替人力,快速綜整資安資訊。也透過合規個案自評,將累積成為產業的資安basedline,共同提升資安防禦力。

資料來源:資策會軟體院

鑑於半導體產業為台灣重點產業,資安所研究員鍾松剛分享與業界合作晶片安全標準的經驗,他提到,因應產業商機佈局所需,業界最需要的是不對整個產品做檢測,而是只要檢測產品中的不同元件,並受到國際標準承認,不需重複檢測,以節省產品出貨時間。

因此在研擬晶片安全標準時,即在SESIP、ISO 24759、FISP 140、ISO 17825的資安依循下,第一部規範了晶片層的安全要求,包括矽前:避免晶片設計含有可疑電路,與矽後:防範非侵入式的旁通道攻擊等,未來希望做到「在地檢測、全球通行」的目標。

若希望進一步建立安全軟體開發流程,資安所資深規劃師黃碧霞建議,基準架構可以依安全軟體開發的組織與階段,分成10個階段:

資料來源:資策會資安所

資安所副主任蕭榮興也建議,導入開發資安系統生命週期(SSDLC)進行安全管理,一開始就埋入安全管理機制,不僅可以溯源Open Source的開源軟體,也在能不同階段掌握資安。

資料來源:資策會資安所

This site is registered on wpml.org as a development site.