在網路威脅下保障半導體測試設備的安全
← 返回部落格首頁

確保您的半導體測試設備免受日益嚴重的網路安全威脅

網路安全威脅每天都為您的企業帶來風險,並可能攻擊您營運的各個層面,而且這些威脅正日益增加。根據 IBM Security 的 《資料外洩成本報告》,2021 年資料外洩的平均總成本較前一年增長近 10%,從 386 萬美元攀升至 424 萬美元。這是過去七年間單年度成本增幅最大的一次。

來源:IBM Security: 2021 年資料外洩成本報告》

這些網路安全漏洞可能對企業造成毀滅性的短期與長期影響。根據Comparitech 的資料:

  • 一個名為「DarkSide」的俄羅斯駭客組織對科洛尼爾輸油管線發動了勒索軟體攻擊,迫使該公司關閉輸油管線系統,並促使能源部介入協助調度燃料供應,以減輕對消費者的影響。
  • 化學品經銷商布倫塔格(Brenntag)向 DarkSide 支付了 440 萬美元的比特幣贖金,以換取解密工具來解鎖遭加密的檔案,並防止遭竊資料被公開釋出。
  • 宏碁遭到 REvil 勒索軟體集團的攻擊,對方索要 5,000 萬美元的贖金。
  • 肉類供應商 JBSUSA 因遭受網路攻擊導致其全美牛肉加工業務全面停擺,為此支付了 1,100 萬美元的贖金。

隨著勒索軟體攻擊的獲利能力日益提升,其手法也變得愈發精巧,不僅能悄無聲息地擴散、規避偵測、加密資料,甚至幾乎無法被逆向工程破解。企業已逐漸意識到保護系統與資料的重要性,並將此列為制定商業決策時的優先考量。

事實上,在2022 年 6 月 21 日的一份 新聞稿中,Gartner公布了其針對 2022-23 年的八大網路安全預測,並表示:「到 2025 年,60% 的組織將把網路安全風險作為選擇商業合作夥伴的重要考量因素。」

標準正在演變

SEMI 作為服務於電子產業產品設計與製造鏈的全球性產業協會,近期發布了網路安全相關的 SEMI 標準。其中,SEMI 6506是針對晶圓廠設備網路安全的規範,而 SEMI 6566 則是針對無惡意軟體設備整合的規範。

SEMI 6506標準針對晶圓廠設備的四大主要組件規定了安全要求,包括:

  • 電腦作業系統的安全性
    • 主流支援:作業系統供應商針對新出現的漏洞提供安全性更新、新增功能、發布設計變更,並處理保固索賠。此類支援亦稱為「完整支援」。
    • 延伸支援:作業系統供應商停止新增功能並終止免費支援,但仍會提供漏洞修補程式與更新。此類支援亦稱為維護支援。
  • 網路安全:有許多不同的方法可以強化系統及其網路,以減少惡意軟體的攻擊面。這包括但不限於:配置系統及其網路以避免常見的陷阱、停用不必要的功能,以及確保已透過修補程式解決設備供應商所指出的問題。
  • 端點安全:端點是指晶圓製造設備中連接至網路並在網內進行通訊的運算裝置。端點防護是一種部署於端點裝置上的解決方案,旨在防範基於檔案的惡意軟體攻擊、偵測惡意活動,並提供必要的調查與修復能力,以因應動態的安全事件與警示。
  • 安全監控:當發生問題時,透過提供該時間段內在系統中操作的使用者資訊,協助進行故障排除。此功能亦有助於揭露晶圓廠設備中存在的任何設定錯誤或其他潛在威脅。

SEMI 6566 是一項關於無惡意軟體設備整合的規範。此標準定義了系統與流程的保護措施,以確保生產設備的完整性,並特別針對以下方面訂定相關要求:

  • 透過網路及可移除式儲存媒體管控對生產設備的存取權限
  • 生產設備安裝
  • 生產設備升級與支援工作
  • 生產設備的維修,例如硬碟或電腦零件的更換

隨著全球互聯程度日益加深,勒索軟體攻擊也愈發猖獗,泰瑞達深知此一現況,並致力於落實這些標準,同時採取多項其他網路安全措施,以確保客戶的安全。針對半導體測試產品的全面性網路安全計畫,確保我們竭盡所能消除網路安全攻擊的可能性,透過預判潛在威脅並主動開發解決方案,以確保一旦發生問題能迅速加以緩解。

泰瑞達的網路安全計畫讓客戶能夠保護其泰瑞達半導體測試儀,並評估系統中的漏洞;該計畫建基於三大基礎支柱,且符合已公布的 SEMI 標準。

  • 漏洞評估與管理的流程與工具
  • 安全產品與解決方案定義、開發、製造及支援的標準。
  • 在產品開發的各個環節中貫徹安全設計原則與編碼規範。

網路安全已融入泰瑞達的產品設計流程

每批泰瑞達半導體測試產品的出貨,都經過嚴格測試與強化處理,因此您可以放心,您收到的產品在送達貴公司之前,已通過全面檢測與強化處理。

病毒掃描
泰瑞達在製程文件中提供一份證明書,確認每台隨半導體測試機出貨的電腦均已使用防毒軟體進行掃描。

產品出貨前的影像強化
美國商務部下屬的國家標準與技術研究院(NIST)將影像強化定義為「一種旨在透過修補漏洞並關閉非必要服務,以消除攻擊途徑的流程。」

泰瑞達的半導體測試儀能與客戶的生態系統無縫整合,我們著重於兩類系統強化措施。

在產品出貨給客戶之前進行的影像化作業,建立了可供執行「安全內容自動化協定」(SCAP)掃描的基準。SCAP 掃描會將被掃描的系統與基準進行比對,以判定系統是否符合規範。SCAP 掃描以及我們所有的網路安全防護措施,均符合近期發布的 SEMI 標準。

您可以放心,無論是J750Ex-HDUltraFLEX,UltraFLEXplusETS-88ETS800,均已通過泰瑞達的網路安全流程,以確保已知漏洞已獲得緩解。

隨著網路安全持續演進,泰瑞達亦與時俱進

泰瑞登的資安計畫持續精進,納入針對各類安全事件的最佳實務,這些事件可能源自多種不同來源。我們已建立完善的流程,並組建了跨職能的專家團隊,一旦發生資安事件,將迅速採取行動,以識別、遏制並消除相關風險。

我們的事件管理應變流程包含以下明確的步驟。

  • 升級:指及時且有效地向利害關係人(包括客戶)傳達相關資訊的流程。
  • 調查:根本原因分析、解決方案設計與實施。
  • 解決方案: 解決方案的驗證 與確認。
  • 預防措施:追蹤事件並建立知識庫,以提升產品的完整性。
  • 客戶溝通:包含初步回應、事件控制、報告完成及結案的系統化計畫。

此流程使泰瑞達能夠在發生網路安全問題時迅速應對並予以解決。

SEMI如此總結網路安全的重要性:「半導體製造供應鏈的特性,要求必須制定標準以減輕潛在威脅。透過防止外部威脅滲入製造生態系統,晶片製造商與設備供應商將能從明確的相互期望中獲益,並提升設備的可靠性與運作時間。」

透過為半導體測試產品實施全面的網路安全策略,泰瑞達正積極致力於降低風險;若發生問題,我們已建立完善的資安事件應變流程,以迅速識別、控制並解決問題。作為新興技術測試解決方案開發領域的業界領導者,泰瑞達致力於確保為客戶優化半導體製造流程,並在發生網路安全問題時主動加以處理。

如需進一步了解泰瑞達的網路安全計畫,請與我們聯絡

伊萊·羅斯(Eli Roth)是泰瑞達(Teradyne)智慧製造部門的產品經理,負責數據、分析及網路安全解決方案的策略性產品開發。加入泰瑞達之前,伊萊曾任職於 Advanced Energy,擔任軟體與控制部門總監。伊萊擁有愛荷華州立大學電腦工程理學士學位。

訂閱泰瑞達部落格