供應商是第一大風險，但減少攻擊需要全行業(yè)的協(xié)作。

半導體制造商正在努力解決如何確保高度專業(yè)化和多樣化的全球供應鏈的安全，特別是隨著他們的知識產權價值和對軟件的依賴不斷增加，以及攻擊者的復雜性和資源的增加。

盡管確實存在安全方法和標準，但它們往往令人困惑、繁瑣且不完整。存在很多差距，特別是在一些較小的知識產權、設備和材料供應商之間，安全性充其量也只是初級的。部分原因是過去人們的注意力主要集中在芯片和芯片制造商的漏洞上。但半導體行業(yè)各公司之間的相互依賴性越來越高，隨著復雜性的增加和芯片設計變得越來越異構，交互的數(shù)量也在增加。最薄弱的環(huán)節(jié)使整個供應鏈面臨風險，估計超過 50% 的安全威脅是由供應商帶來的。

制造業(yè)是一個特別高價值的目標，竊取的數(shù)據可用于啟動高度復雜技術的競爭。即使攻擊被成功阻止，攻擊者造成的任何違規(guī)或入侵都可能會增加交付時間，并且會增加調查違規(guī)原因和所需補救措施的成本。它們也讓這些攻擊的受害者感到尷尬，他們需要向客戶和監(jiān)管機構解釋出了什么問題、何時發(fā)生以及采取了哪些行動（如果有的話）。

業(yè)界清楚地意識到不斷擴大的威脅形勢。協(xié)作是今年 SEMICON West 網絡安全論壇的一大主題。英特爾、臺積電、應用材料、ASML、泛林研究和 Peer Group 的安全負責人都指出，需要確保行業(yè)利益相關者之間的互動安全，以及防止數(shù)據泄露和泄漏的安全標準和流程，但又不能讓安全變得如此重要。它會妨礙開展業(yè)務。

安全性對于技術的各個方面來說仍然是一個挑戰(zhàn)，并且隨著越來越多的流程和設備連接到互聯(lián)網以及相互連接，安全性變得更具挑戰(zhàn)性。沒有一種安全措施是完美的，也沒有一種解決方案是足夠的。良好的安全性是一個過程，需要設計安全的態(tài)度以及整個供應鏈的彈性。當漏洞出現(xiàn)時，需要對其進行評估和解決。

在 SEMICON 上，幾位首席信息安全官 (CISO) 指出，大約 60% 到 90% 的有影響力的安全問題是由供應商引入的。

漏洞、障礙、解決方案

成功的違規(guī)行為可能會產生廣泛的影響。它們可能會延遲發(fā)貨、泄露 IP 并導致運營停機。它們還可能導致產品受感染并影響公司的品牌。

通過云或其他方式共享數(shù)據，以及智能制造的快速采用，只會提高人們對風險的認識。Amkor Technology IT 部門副總裁 Joon Ahn總結了需要考慮的安全漏洞：

數(shù)據泄露：聯(lián)網設備的使用和數(shù)據共享的增加可能會增加數(shù)據泄露的風險。如果敏感數(shù)據沒有得到適當?shù)谋Ｗo，未經授權的用戶可能會訪問它。

物理安全：隨著工廠變得更加自動化，物理安全變得越來越重要。未經授權進入工廠車間可能會導致設備損壞或被盜。

內部威脅：有權訪問敏感系統(tǒng)和數(shù)據的員工如果參與惡意活動或因人為錯誤無意中危及安全，可能會帶來安全風險。

威脅可能來自多個方向，并且可以針對從 IT 到設施再到運營技術的所有方面。

美國國家標準與技術研究所 (NIST) 半導體參與高級顧問Robert Ivester在他對運營技術的描述中指出，制造商及其供應鏈越來越依賴于與物理交互的各種可編程系統(tǒng)和設備。環(huán)境。其中包括工業(yè)控制系統(tǒng)和樓宇管理系統(tǒng)。

與此同時，設施不僅僅涉及建筑物。臺積電企業(yè)信息安全主管 James Tu 表示：“我們談論設施安全是因為機器無法在沒有電力、化學品、氣體以及廢物處理管理的情況下運行。”?“設施安全至關重要，因為這是一個安全問題。我們專注于設施安全和基礎設施安全的結合?！?/p>

其他人也同意?！盀榱私鉀Q這些安全漏洞，可以采取幾個步驟，例如進行風險評估、培訓員工和實施物理安全措施，”Amkor 的 Ahn 說。

對于軟件來說，實現(xiàn)合規(guī)性需要了解您的足跡并構建可持續(xù)的安全方法?！爱斘覀兿虿煌墓S提供軟件時，有時會出現(xiàn)特殊版本或特殊要求，”Peer Group 總裁兼首席執(zhí)行官 Mike Kropp 說道?！八晕覀兊能浖嶋H上有不同的個性。我們需要考慮如何保持合規(guī)性。也許一臺設備上的數(shù)百萬行代碼中有一些不應該存在的東西。”

克羅普解釋說，關鍵是了解您的足跡，然后圍繞它構建可重復的流程。該足跡包括有權使用軟件 IP 的員工數(shù)量 (200)、客戶工廠數(shù)量 (120+) 以及相關設備數(shù)量 (> 4,000)。對于 Peer Group 的晶圓處理軟件，他表示安裝基礎擁有超過 90,000 個連接。但了解您的足跡還意味著了解您的軟件需要支持的操作系統(tǒng)數(shù)量（在 Peer Group 的情況下為數(shù)十個），并確定您的軟件所依賴的第三方庫（為 130 個）。

監(jiān)控安全性是一個持續(xù)的過程，但需要盡可能自動化并內置到開發(fā)過程中。

“我們正在盡我們所能提供安全軟件，”克羅普說。“如果我們自己的軟件中檢測到漏洞，我們會將其視為缺陷。我們將分配一個具有嚴重性級別的工作項，并將其放在內容開發(fā)人員的工作列表中。如果我們在流程結束時這樣做，那就太晚了。這必須作為我們開發(fā)環(huán)境的一部分發(fā)生。我們改變了開展業(yè)務的方式，以將安全作為常規(guī)運營方式?！?/p>

圖 1：軟件漏洞流程示例

數(shù)據共享和安全始終是一個問題。聯(lián)華電子智能制造副總監(jiān) James Lin 表示：“除了物理安全之外，云信息安全也成為我們邁向自主智能工廠道路上的一個問題，尤其是當我們嘗試擁抱生成式人工智能時?！?“訓練最先進的生成式人工智能模型需要在大型 GPU 環(huán)境中使用敏感的企業(yè)數(shù)據。如果我們想利用企業(yè)云解決方案，最高級別的信息安全認證是絕對必須的?！?/p>

生成式人工智能是保護數(shù)據的新威脅，因為它能夠智能地將數(shù)據片段鏈接在一起，而不是試圖在一個地方獲取所有數(shù)據。根據一份報告，工程師使用 ChatGPT 技術來優(yōu)化測試序列，以識別芯片中的故障，并在單獨的事件中將會議記錄轉換為演示文稿。在這兩種情況下，敏感信息都在公司外部共享。

云本身包含最先進的安全性，但這并不是全部。“大多數(shù)晶圓廠都會說數(shù)據安全（云與本地）是最大的問題。我相信大型提供商（AWS/Azure 等）的云數(shù)據安全比當今任何本地環(huán)境都更安全?！?a target="_blank">Tignis 營銷副總裁 David Park說道?！白畲蟮膯栴}不是外部黑客攻擊，而是用戶認證不當。如果您不恰當?shù)厥谟鑶T工訪問權限，那就與允許黑客破壞您的安全一樣糟糕。隨著智能制造成為常態(tài)，內部安全和權限將成為一個大問題?！?/p>

進出云端的數(shù)據以及不同公司或辦公室之間共享的數(shù)據和軟件的安全性可能要低得多。雖然加密是保護此類數(shù)據的標準方法，但這在復雜的供應鏈中不起作用，因為大多數(shù)公司都會阻止傳入的加密數(shù)據和軟件。

Lam Research副總裁兼首席信息安全官 Jason Callahan 表示：“如今，我們在很多方面與我們的業(yè)務不一致，尤其是在數(shù)據方面?！??！拔覀兪菑牧阈湃蔚慕嵌冗\作的。但我們都共享知識產權。顯然，存在著很大的信任。我們一直與供應商和其他方合作，以有效的方式共享信息。從網絡概念來看，我們遇到了障礙。從根本上說，我們作為安全人員不信任加密。我發(fā)現(xiàn)每個人都阻止加密進入他們的環(huán)境。如果您是網絡人士，加密可能會很糟糕。從根本上來說，這是我們最大的弱點。我們拒絕加密，這讓我感到震驚，因為我們是強迫每個人對內部所有內容進行加密的人?！?/p>

加密存在三個傳統(tǒng)問題。首先，它可能包含惡意軟件或導致漏洞，并且在解密之前無法得知這一點。其次，它可能隱藏一種竊取數(shù)據的機制。第三，它可能會阻礙法律糾紛中的法律取證或發(fā)現(xiàn)。

卡拉漢對所有這些擔憂提出了質疑，并指出每個人都將深度防御作為其安全計劃的基石，包括防病毒軟件和端點檢測和響應（EDR）來檢測惡意軟件和違規(guī)行為。數(shù)據泄露是一個內部風險問題，公司擁有適當?shù)墓ぞ吆拖到y(tǒng)來解決這個問題。與法律取證或發(fā)現(xiàn)相關的擔憂是一個特殊案例。允許知識產權加密以維持安全傳輸更為重要。

供應商安全管理

所有 CISO 都同意管理整個供應鏈的安全是絕對必要的。然而，說起來容易做起來難。供應商數(shù)量龐大，這是一個巨大的挑戰(zhàn)。

對于軟件供應商來說，這包括第三方庫。對于設備供應商來說，就是零部件供應商。對于工廠來說，它是制造設備、材料、軟件供應商和計算機硬件。例如，ASML CISO Aernout Reijmer 表示，該公司的設備由約 5,000 家供應商提供的約 380,000 個組件組成。

臺積電和阿斯麥等公司為其供應商設立了教育培訓。他們還設置了警報，這有助于支持通常沒有大型安全小組的小型供應商。

標準

NIST 網絡安全框架為建立組織自己的實踐提供了指導。還有多個 ISO 標準（例如 ISO 17001、27110），但它們側重于信息安全。此外，這些通用標準并不容易適用于安裝了外部設備的復雜工廠環(huán)境。

尤其是工廠，包括高價值目標、高復雜性以及歷史上不愿更新工廠設備的組合。這種結合使得晶圓廠和代工廠特別容易受到安全問題的影響，促使臺灣和北美的 SEMI 成員推動與設備相關的行業(yè)特定標準。SEMI 的兩個工作組定義了工廠設備安全 — E187（臺灣）和 E188（北美）。這些標準包括：

SEMI E187：晶圓廠設備的網絡安全

晶圓廠設備的一套通用的最低安全要求，旨在由 OEM 為運行 Linux 或 Windows 的晶圓廠設備實施；

專注于網絡安全、端點投影和安全監(jiān)控。

SEMI E188：無惡意軟件的設備集成

基于明確的報告要求，在設備安裝和維護活動期間減輕惡意軟件攻擊的框架；

需要惡意軟件掃描和系統(tǒng)強化，以及檢查傳入軟件和針對已知漏洞的補丁。

Peer Group 營銷總監(jiān) Doug Suerich 表示：“這兩個標準是互補的?！?“SEMI E187 旨在確保設備在首次出廠時的設計和配置達到安全性和可維護性的基線水平。SEMI E188 更深入地探討了 SEMI E187 的主題子集，特別是提供了有關降低設備安裝和后續(xù)現(xiàn)場支持期間將惡意軟件引入工廠的風險的要求。標準團隊將致力于進一步擴展不同的 SEMI E187 主題?！?/p>

這些標準正在推出，制造商對新安裝的設備也提出了要求。

評估

安全評估用于了解供應商的安全級別。結果可用于影響采購并確定供應商的改進措施。臺積電的屠指出了該公司對供應商進行評分的流程，其中包括第三方在線評估以及涵蓋以下領域的 135 個問題的自我評估：

認證和風險評估；

庫存管理和物理安全；

網絡安全事件檢測和響應；

系統(tǒng)開發(fā)及應用安全；

網絡安全和變更管理；

組織政策和人力資源保障；

計算機操作和信息管理，以及

身份和訪問管理。

所有主要半導體制造商都表現(xiàn)出色，并為客戶填寫評估。但要求每家公司都有自己的評估會讓整個行業(yè)陷入困境。“我們對行業(yè)進行了各種安全評估，”ASML 的 Reijmer 說道?！拔覀冞€不知道我們已經在供應鏈中推出了什么。如果我們讓它變得過于復雜，如果我們對其進行過度設計，那么我們就無法找到解決方案?！?/p>

其他人也同意?！拔矣?15 個人全職做這件事，他們回答了問題，這樣我就可以銷售我的產品，”英特爾 CISO 布倫特·康蘭 (Brent Conran) 說?！叭绻野堰@些精力投入到實際的網絡安全工作中會怎樣？這不是更好的方法嗎？每個人都應該考慮到，過去 20 年所做的事情可能還不夠，因為我們如此數(shù)字化，而且發(fā)展如此之快?！?/p>

此外，評估缺少與恢復和復原力相關的關鍵屬性?！拔覀兊呐εc降低風險之間沒有關聯(lián)，”應用材料公司首席信息安全官 Kannan Perumal 說道。“我們有很多事情可以幫助解決這個問題，但我們仍然在苦苦掙扎，因為我們有這么多供應商，而我們只能利用可用資源做這么多?！?/p>

佩魯馬爾指出，半導體供應鏈網絡風險評估缺乏標準。因此，每家公司都有自己的評估，由其供應商的安全團隊（如果他們有專門的團隊）執(zhí)行，這使其成為一項資源密集型任務。此外，評估并不關注所有重要的事情，例如恢復和復原力。

與半導體行業(yè)一樣，汽車行業(yè)也需要管理大量供應商。佩魯馬爾研究了這兩個行業(yè)如何解決安全問題。這一比較證實了幾位 CISO 所強調的觀點：芯片行業(yè)需要高效的框架、通用標準和第三方認證小組來管理流程。

圖 2：供應鏈網絡安全風險管理比較

呼吁合作

對于半導體行業(yè)來說，由于深度的相互依賴性，超越公司邊界的保護是必要的。由于操作復雜且安全問題的切入點較多，因此需要共同努力才能使其有效且經濟。正如英特爾的 Conran 恰當?shù)卣f：“我們無法獨自完成這件事。我們所有人都需要齊心協(xié)力，在整個供應鏈中開展工作，并了解我們必須做的許多事情，才能保持這臺機器的運轉?！?/p>

推進網絡安全合作不僅涉及同意標準和行業(yè)認可的供應商評估流程。它還需要加入主要半導體工廠和設備供應商的專業(yè)知識。通過這樣做，行業(yè)可以盡快學習以應對常見威脅。為了實現(xiàn)這一級別的協(xié)作，SEMI 正在組建網絡安全聯(lián)盟。

編輯：黃飛

?