Fab设备网络安全;预防网络;网络教育。
Fab设备网络安全
在帮助半导体制造供应链提供安全的重要一步中,SEMI发布了第一个晶圆厂设备的网络安全规范和标准。
一段时间以来,半导体产业一直在发展晶圆厂设备的新网络安全标准以保护系统免受潜在的网络攻击、病毒和知识产权盗窃。该行业一直在研究两种网络安全晶圆厂设备规格。该行业一直在SEMI的支持下工作。
第一个标准被称为SEMI E187,是一个旨在帮助保护半导体制造数据的规范。SEMI E187提供了在半导体设备中开发网络安全保护的基本指南。该规范由SEMI台湾网络安全委员会和晶圆厂和设备信息安全工作组制定,涵盖四个关键领域——计算机操作系统、网络、端点保护和监控。
与此同时,SEMI还批准了6566,这是一项无恶意软件设备集成规范。本标准定义了设备装运前扫描的协议。它还解决了对文件传输、维护补丁和组件替换的支持。
芯片制造商可以在设备采购合同中使用这两种规格作为网络安全要求。该标准已经制定了一段时间。英特尔(Intel)和台积电(TSMC)在这方面一直处于领先地位。
不用说,it组织和晶圆厂都必须有安全措施。在晶圆厂,芯片制造商可能有大量的IC生产设备,这些设备都连接在一个网络中。但是,由于大部分设备都不是全新的,很大比例的工具可能包含带有过时操作系统和旧端口的计算机。
对于芯片制造商来说,这是一个令人担忧的主要原因。根据SEMI的说法,具有旧计算机操作系统和网络端口的晶片厂设备可能容易受到攻击。恶意软件或恶意软件可能会利用安全漏洞攻击设备,导致系统崩溃。
它还可以用来攻击铸造厂和包装公司极具价值和竞争力的知识产权,以及它们的客户。几乎所有芯片制造商都使用第三方代工和封装服务,其中很大一部分涉及高度专有的数据。此外,铸造工艺本身也极具价值。
与此同时,芯片制造商继续加强自身内部的网络安全工作。例如,台积电不断改进自己的产品供应链安全管理策略。台积电表示:“这包括参照国际标准设计供应商信息安全评估和评估标准,涵盖12大类和135个检查项目,并协助供应商有效评估信息安全成熟度和改进目标。”
“全球企业在信息安全方面面临严峻挑战。台积电致力于解决半导体行业的信息安全保护问题,并已将其推广扩大到供应链,与行业伙伴合作,实现企业的可持续性,”台积电信息技术和材料管理及风险管理高级副总裁J.K. Lin表示。
网络攻击的预防
CyCraft是一家管理检测和响应提供商宣布合作计划与台湾半导体供应链网络安全联盟合作。
半导体供应链安全联盟最近由SEMI台湾子公司成立。该组织一直在与台湾公司和工厂合作,制定有效的半导体网络安全标准。
据报道,台湾超导体供应链已经出现了越来越多的网络攻击。
CyCraft在一篇博客中指出四大网络安全“痛点”在半导体供应链中如何解决这些问题。
CyCraft的全球产品经理Chad Duffy说:“这些挑战是由于行业限制而存在的,而不仅仅是技术限制。”“制造业最大的安全问题之一是将现代人工智能驱动的解决方案集成到传统的硬件和软件中,比如我们的解决方案。这带来了独特的挑战。硬件多样性和高可用性是ICS的一些主要关注点。plc不提供与完整操作系统相同的计算环境,导致与我们在办公IT环境中看到的不同的安全方法;升级每个操作系统补丁可能会让公司损失数百万美元的停机时间——考虑到行业竞争激烈的环境,这不是一个选择。这导致遗留解决方案,即使是那些已经超过寿命期限的解决方案,仍然在使用;不断发现漏洞并开发新技术的黑客可以在这个领域蓬勃发展,所以我们与SEMI这样的组织合作,找到最佳的中间地带,以更好地实现行业的安全目标,这是至关重要的。”
网络教育
关键基础设施恢复研究所(CIRI)是开发网络安全课程以帮助解决日益扩大的人才缺口。
如前所述,网络攻击、知识产权(IP)盗窃和身份盗窃变得越来越普遍。但网络安全专业人员太少,无法填补市场上的空缺。据CIRI统计,仅在美国就有超过50万个职位。
这正是CIRI的用武之地。CIRI开展网络安全研究并提供网络安全教育,由美国国土安全部提供为期五年的2000万美元拨款。该研究由伊利诺伊大学香槟分校(UIUC)领导,美国其他大学和国家实验室的合作者。
在网络安全与基础设施安全局(CISA)额外200万美元拨款的支持下,CIRI正在开发一套网络安全课程,可供目前没有网络安全课程或希望扩大现有课程的大学使用。CISA是美国政府机构,领导全国努力了解、管理和降低网络和物理基础设施领域的风险。
在奥本大学、普渡大学和塔尔萨大学的帮助下,CIRI创建了一个全国性的机构网络,帮助创建了网络安全课程和职业路径。
“我们对课程内容采取了创新的方法,将技术知识与社会和组织的理解和方法联系起来。在安全系统和组织流程的设计中,我们希望将重点放在在危机管理成为必要之前预测可能的中断的设计上。我们称之为网络社交系统,将技术和组织学习相结合的框架。”伊利诺伊大学香槟分校教授威廉·科普说。
CIRI执行董事Randall Sandone补充道:“长期以来,网络安全社区一直专注于网络安全产品和技术,而对人为因素关注不够。这项国家计划将开始纠正这种不平衡,重点是发展应对日益依赖网络的世界中日益增长的挑战所需的知识、技能和能力。”
|
|
|
|
|
|
|
|
|
|
|
|
留下回复