确保芯片制造与日益增长的网络威胁

半导体制造商正在冥思苦想如何安全的高度专业化和多样化的全球供应链,尤其是当他们的IP和依赖软件的价值增加,连同袭击者的复杂性和资源。

方法和标准确实存在的安全,他们常常是令人困惑的,繁琐的,不完整的。有很多空白,尤其是一些规模较小的IP供应商,设备,材料,安全仍然是一个原始落后的社会。这部分是由于一个事实:在过去,大部分的重点是在芯片和芯片制造商的漏洞。但是有越来越高的公司之间的相互依赖在半导体行业。交互的数量增长随着复杂性的增加,随着芯片设计变得越来越不均匀。最薄弱的环节将整个供应链风险,据估计,超过50%的安全威胁是引入的供应商。

制造业是一个特别高价值目标,偷来的数据可以用于启动竞争高度复杂的技术。即使攻击成功阻止了,任何违反或攻击者可以增加交货时间,取得的进展,他们添加成本调查事件的原因和所需的补救。他们也尴尬的这些攻击的受害者,这需要解释给客户和监管机构出现了什么问题,当它发生了,什么,如果任何行动,。

这个行业非常清楚景观不断扩大的威胁。合作是一个主题在网络安全论坛在今年的半导体。安全首脑在英特尔、台积电、应用材料、荷兰阿斯麦公司林的研究,和同龄群体指出需要保护行业利益相关者之间的相互作用,以及安全标准和流程,防止数据泄露和泄漏,但没有安全如此繁重,在做生意的方式。

安全仍然是一个挑战技术的方方面面,它变得更具挑战性,因为越来越多的工艺和设备连接到互联网和彼此。没有安全是完美的,没有一个解决方案是充分的。良好的安全是一个过程,需要一个secure-by-design态度,以及整个供应链弹性。当出现漏洞,他们需要评估和处理。

在半导体,一些首席信息安全官(CISOs)指出,约有60%到90%的有效的安全问题介绍了由一个供应商。

漏洞,障碍,解决方案
成功的违反可以有广泛的影响。他们可以推迟发货,泄漏的IP,并导致操作停机时间。他们也会导致感染和影响一个公司的品牌产品。

在云中共享数据或通过其他方式,智能制造的快速应用,只有增加风险的意识。部门副总裁俊安安靠总结了安全漏洞被认为是:

• 连接漏洞:智能制造技术依赖连接功能,但这也可以创建漏洞。黑客试图获得敏感系统通过不安全的网络连接。
• 数据泄露:连接设备和数据共享使用的增加可以增加数据泄露的风险。如果不妥善保护敏感数据,未经授权的用户可以访问它。
• 物理安全:随着工厂越来越自动化,物理安全变得越来越重要。未经授权的访问的工厂可能导致设备损坏或盗窃。
• 内部威胁:员工可以访问敏感系统和数据可以构成安全风险,如果他们从事恶意活动通过人为错误或无意中妥协的安全。

威胁可能来自许多方向,他们可以从目标设备操作技术。

罗伯特·伊维斯特半导体高级顾问参与国家标准与技术研究院(NIST),指出在他的描述操作技术,制造商和他们的供应链越来越依靠广泛的可编程系统和设备与物理环境进行交互。包括工业控制系统和建筑管理系统。

设施,与此同时,不仅仅涉及建筑。”我们谈论设施安全因为机器的运行离不开电力,化工、气体,也浪费流程管理,”James Tu说,台积电公司信息安全主管。“设施安全满足至关重要,因为它是一个安全问题。我们关注的组合设备安全和基础设施的安全。”

其他人也同意。“为了解决这些安全漏洞可以采取几个步骤,如进行风险评估,培训员工,并实现物理安全措施,”公司的安说。

软件,实现遵从性要求理解你的足迹和建立一个可持续的安全方法。“当我们交付软件不同的工厂,有时一个特殊版本或有特殊要求,”麦克·克鲁普说,贵族集团的总裁兼首席执行官。所以我们有不同的个性我们的软件。我们需要考虑如何保持合规。也许在那些在一张几百万行代码的设备是不应该有。”

克鲁普解释说,关键是理解你的足迹,然后构建可重复的过程。足迹包括员工访问软件知识产权的数量(200),客户工厂的数量(120 +)和相关设备(> 4000)。同龄群体的晶片处理软件,他说,有90000多个连接安装基地。但理解你的足迹也意味着理解操作系统软件需要支持,许多同龄群体的情况,并确定您的软件依赖的第三方库,也就是130。

安全监控是一个持续的过程,但它需要尽可能自动化,内置在开发过程。

”我们提供最好的安全软件的知识,”克鲁普说。“如果一个漏洞检测到在我们的软件,我们将把它像一个缺陷。我们会分配一个工作项的严重性级别,把内容开发人员的工作列表。如果我们做这个过程的最后,太晚了。这已经发生了我们的开发环境的一部分。我们改变了做生意的方式,以满足安全”作为一个常规的操作方式。

图1:软件漏洞过程的例子。来源:同龄群体

数据共享和安全始终是一个问题。“除了物理安全,云计算信息安全已经成为一个问题在我们的路径向自主智能工厂,尤其当我们试图拥抱生成AI,”詹姆斯·林说副智能制造部门主任联华电子。“培训先进的生成人工智能模型需要敏感的企业数据在一个大GPU的环境。如果我们想利用企业云解决方案,最高水平的信息安全认证是绝对必须的。”

生成的人工智能是一个新的威胁保护数据,因为它能够智能地联系在一起的数据而不是试图抓住所有的在一个地方。根据一个报告,工程师使用ChatGPT技术来优化测试序列在芯片识别断层,和在一个单独的事件,将会议记录转化为一个演讲。在这两种情况下,敏感信息共享在公司。[1]

云本身包括先进的安全,但这并不是全部。“大多数晶圆厂会说数据安全(云与on-prem)是最大的问题。我相信云数据安全的大供应商(AWS / Azure等等)今天比任何on-prem环境更安全,”David公园,负责营销的副总裁Tignis。“最大的问题不是外部黑客,但不当的认证的用户。如果你不当给访问一个员工,这是一样坏允许黑客破坏您的安全。内部安全与权限将会是一个大问题,智能制造成为常态。”

运动数据的云,数据和软件在不同公司之间共享或办公室,可能不太安全。虽然加密是保护这些数据的标准方式,不工作在一个复杂的供应链,因为大多数公司的加密数据块和软件。

“今天在许多方面我们不是与我们的业务,尤其是我们的数据时,“发现杰森·卡拉汉,副总裁兼首席信息安全官林的研究。“我们从zero-trust操作的观点。但是我们都分享其知识产权。显然,有很多信任。我们一直与我们的供应商和别人共享信息以一种有效的方式。从网络的概念,我们遇到了障碍。从根本上说,我们作为安全人员不相信加密。我发现每个人都在屏蔽加密进入他们的环境。如果你是一个网络人,加密可不好。从根本上说,这是我们最大的弱点。 We denied encryption, which is shocking to me because we’re the people that forced everybody to encrypt everything inside.”

有三个传统的担忧与加密。首先,它可能包含恶意软件或导致违约,也没有办法知道,直到它解密。第二,它可以掩盖漏出数据的机制。第三,它可能会阻碍法律取证或发现法律纠纷。

卡拉汉争议所有这些担忧,因为每个人都有深度防护安全计划的基石,包括杀毒软件和端点检测和响应(EDR)来检测恶意软件和漏洞。数据漏出是一个内部风险的问题,公司有工具和系统来解决这个问题。关注相关法律取证或发现角落里的情况。允许加密对知识产权维护安全的转移是更重要的。

供应商管理的安全
所有CISOs同意跨供应链管理的安全是绝对必要的。然而,这是说起来容易做起来难。供应商的数量是巨大的,这使得这一个巨大的挑战。

软件供应商,这包括第三方库。设备供应商、零部件供应商。和工厂、生产设备、材料、软件供应商、和计算机硬件。例如,Aernout Reijmer CISO在荷兰阿斯麦公司表示,该公司的设备由大约380000个组件由大约5000个供应商提供。

台积电和ASML等,建立教育培训供应商。他们还设立了警报,这有助于支持规模较小的供应商,往往没有大量安全组。

标准
NIST的网络安全框架[2]为建立组织的实践提供指导。也有几个ISO标准(例如,ISO 17001、27110),但是他们专注于信息安全。此外,这些通用标准不容易适用于一个复杂的工厂设置外部设备的安装。

特别是晶圆厂,包括高价值目标的结合,高复杂性,连同一个历史不愿更新工厂设备。组合使晶圆厂、铸造厂特别容易受到安全问题,促使半成员在台湾和北美开车相关的特定于行业的标准设备。两个半任务部队定义工厂设备安全——E187(台湾)和E188(北美)。这些标准包括:

对工厂设备的半E187:网络安全

• 一个通用的、工厂设备安全要求的最小集合,设计实现对工厂设备运行Linux或Windows oem;
• 关注网络安全,端点投影和安全监控。

半E188:恶意软件免费设备集成

• 一个框架,以减轻恶意攻击在设备安装和维护活动,基于定义的报告要求;
• 需要扫描恶意软件和系统硬化以及检查的软件对已知的漏洞和补丁。

说:“这两个标准是互补的Doug Suerich同龄群体的营销总监。“半E187确保设备设计和配置基线级别的安全性和可维护性当它第一次出现在工厂。半E188深入从半E187主题的一个子集——具体地说,提供需求减少的风险引入恶意软件工厂的设备安装和后续现场支持。标准团队将致力于进一步扩大在不同半E187话题。”

这些标准被推出,制造商需要新安装的设备。

评估
安全评估是用来理解供应商的安全级别。结果可以用来影响购买行为和识别改进的供应商。台积电的你指出他的公司得分供应商的过程,其中包括第三方在线评估和自我评估的135个问题涉及以下领域:

• 认证和风险评估;
• 库存管理和人身安全;
• 网络安全事件检测和响应;
• 系统开发和应用安全;
• 网络安全变更管理;
• 组织政策和人力资源安全;
• 计算机操作和信息管理
• 身份和访问管理。

所有主要的半导体制造商的表现以及他们需要填写评估他们的客户。但是要求每个公司有自己的评估沼泽整个行业。“我们超载行业和各种各样的安全评估,”表示,阿斯麦公司Reijmer。“我们没有一个想法我们已经推出在我们的供应链。如果我们把它,如果我们过度工程化,那么我们不会开始工作的解决方案。”

其他人也同意。“我有15人做全职,和他们回答的问题所以我可以卖我的产品,”布伦特•康兰说,英特尔的CISO。“那如果我把什么劳动做网络安全?这不是一个更好的方法吗?每个人都应该考虑,什么是在过去的20年里可能是不够的,因为我们是如此的数字,因为它是如此之快。”

同时,评估缺失的关键属性相关的复苏和弹性。“没有我们的努力之间的相关性和风险减少,“Perumal Kannan说CISO应用材料。“我们有很多的事情来帮助解决这个问题,但我们仍在挣扎,因为我们有这么多的供应商和我们只能做这么多可用资源。”

Perumal指出,缺乏标准的半导体供应链cyber-risk评估。因此,每个公司都有自己的评估由供应商的安全团队(如果他们有一个专门小组),这使得它一个资源密集型任务。此外,评估不关注所有的事情,如复苏和弹性。

半导体行业,汽车也有大量的供应商管理。Perumal检查这两个产业如何解决安全。比较证实了几个CISO的强调——芯片行业需要一个有效的框架中,通用标准,第三方认证集团管理过程。

图2:供应链网络安全风险管理的比较。来源:k . Perumal应用材料

要求合作
企业边界以外的半导体产业,保护是必要的,因为深相互依赖关系。复杂操作和许多入口点的安全问题,需要一起工作使它有效和经济。作为英特尔•康兰恰当地说,“我们不能单独做这件事。需要我们所有人一起工作在供应链和理解的许多事情我们必须做为了保持这台机器去。”

前进网络安全协作包括不仅同意供应商的标准和行业公认的评估过程。它还需要加入的专业知识主要的半导体工厂和设备供应商。通过这样做,这个行业可以尽快解决常见的威胁。使这种程度的协作,半是形成网络安全联盟。

——苏珊兰博促成了这个故事。

引用

1. 三星ChatGPT事件https://www.businesstoday.in/technology/news/story/samsung -员工-意外泄露公司秘密-通过chatgpt继承者- -发生了什么- 376375 - 2023 - 04 - 06
2. NIST网络安全框架https://nist.gov/cyberframework