當 AI 浪潮正全速驅動半導體產業發展,產值龐大的半導體供應鏈卻也因此更容易成為駭客攻擊鎖定的對象。當 AI 正在創造攻擊新維度,高科技製造業如何不斷進化 AI 資安攻防技術,並在迎戰駭客時成功鞏固機敏資料寶庫?
今日(3/6)TechOrange 科技報橘首度前進新竹科學園區舉辦「2024H1 資安實戰演練大會」,重磅邀請來自 MIH 開放電動車聯盟、工研院、趨勢科技、AWS 等多位資安專家,一同從「最新駭客攻擊案例」檢視半導體供應鏈韌性,掌握建構半導體產業必備的強韌體質。
TechOrange 科技報橘社長戴季全從昨晚 Facebook 與 Instagram 大當機,進而引起白宮國家安全會議密切關注的事件談起,和所有與會者分享隨著 AI 時代來臨、新全球化與全球性人口老化的趨勢更加清晰,面對未來的資料與資安新常態,能夠「解決問題的人」,才是未來最需要的人才。
面對 AI 開創的資安攻擊新維度,資安人員如何培養不斷解決新問題、完備網路安全防護的技術與思維?MIH 開放電動車聯盟技術發展顧問呂柏寬從近期車用零組件供應商遭受資安攻擊的事件切入,並特別談到 Bosch 被駭客入侵螺母扳手,導致扭力資訊錯誤的狀況,提醒若要完備電動車產業的資安防護網,每個生產環節都必須極為注意,否則都會為電動車的安全性帶來疑慮。
「資安不可能完美,但可以逐步改善,」呂柏寬也分享從落實公司資安治理、實踐產品資安開發流程、強化車載資安防護與監控,以及進行車載軟韌體線上更新等四步驟,是車用零組件供應商多面向完備資安防護的具體方式。一旦車用零組件供應商擁有完整的公司資安治理及資安開發流程,同時產品的資安也能與時俱進,就能有效強化電動車產業每個環節的資安防禦力。
在電動車產業中,聯合國車輛安全法規 UN R155 的上路,是逐步落實車輛資訊安全的關鍵之一;而在半導體產業中,SEMI E187 半導體設備資安標準規範的制定與施行,是循序漸進打造半導體資安生態系的重點。SEMI E187 幕後推手之一、工研院資訊與通訊研究所組長卓傳育分析,因為半導體產業的製程生產機台複雜且昂貴、零組件來自世界各地,同時每日高昂的產值讓設備為了資安需求而停機檢修的難度大增,都是半導體製造業常見的資安挑戰。隨著 2023 年 9 月台積電正式要求所有供應商落實 SEMI E187、正式讓資安標準在半導體產業落地,卓傳育也進一步分享,未來 SEMI 的資安團隊不只會持續完備 SEMI E187、SEMI E187 Checklist 標準,也會與產業一同透過實踐資安標準、保持領先位置。
從近期駭客攻擊案例切入,掌握供應鏈必備的資安思維
至於近年不斷被提到的「資安韌性」究竟是什麼?「用白話文解釋就是,可以被打,但絕不能被直搗黃龍,更不能被打死,」 AWS 專業架構師團隊總監楊仲豪分享。從統整 2023 年的資安調查數據與著名攻擊事件開始,楊仲豪歸納出幾項重要趨勢,包括:資料是駭客的主要目標、VPN/安全設備依舊是駭客最愛,以及 80% 的系統入侵都伴隨著勒索軟體的植入等。當不會感到疲憊的機器不斷產生自動化、規模化的攻擊,楊仲豪提醒企業要盡可能減少被攻擊的面積,同時當前一個保護失效時,還有下一道關卡可以抵禦攻擊,才能有效提升資安韌性,鞏固高科技產業的機敏資料。
面對新型態的駭客攻擊,不只企業各自強化資安防禦量能,更必須聯手所有供應鏈夥伴,站在攻防第一線。趨勢科技資深技術顧問黃源慶以 TOYOTA 的供應商小島沖壓工業被勒索加密,導致 TOYOTA 為了避免遭到影響,因此中斷網路連線、停工 3 天的事件,分享供應鏈攻擊所造成的實際業務與商譽損失,比想像中還可觀。究竟如何有效減緩攻擊者進程、實踐供應鏈風險管理?黃源慶資深技術顧問分析,企業可以先主動評估風險,接著將安全性集成到開發流程中,最後再對攻擊者增加障礙,以減緩駭客的攻擊進程。至於高科技製造業管理供應鏈風險的方式,黃源慶建議先從「識別潛在的供應鏈威脅」著手,接著評估這些威脅對業務運營的影響並實施對策,再透過將潛在風險降至最低、擁有持續的監控系統與審查流程等四步驟,以防止未來的資安攻擊,並助力企業打造自身的資訊安全生態系統。
「2024H1 資安實戰演練大會」還有邀請 Electrum Cloud 蔚藍雲策略諮詢總監黎嘉龍、文曄科技 SENIOR FAE 林銘隆、DEVCORE 戴夫寇爾商務發展經理張亭儀、TeamT5 杜浦數位安全資深技術顧問周家吉,以及池安量子資安董事長池明洋等專家,分享企業如何全方位檢視資安防護量能、狩獵資安威脅,並解密在 AI 大爆發與後量子時代中,半導體產業破解駭客攻擊新維度的戰略。
想瞭解更多資安攻防的技術與實況,敬請鎖定近期即將推出的完整會後報導!
沒參加到當天現場活動、想回顧多位重磅講者的精彩演講?
立即預約索取【2024H1 資安實戰演練大會】演講精華
