廣告

2018年8月6日 星期一

轉:台積電一堂數億元的資安課(蘇俊吉)






台積電一堂數億元的資安課(蘇俊吉)


出版時間:2018/08/07

台積電所採取的資安管理策略是實體防護,每個進入的員工或協力廠商都知道,禁止攜帶電腦、智慧手機、USB隨身碟等設備,管制的嚴謹程度可比國軍、中科院、國安局等,這道理並非攜帶電腦設備就一定會影響台積電的安全,而是呼應「破窗效應」,指說一個房子如果窗戶破了,沒有人去修補,隔不久,其他的窗戶也會莫名其妙的被人打破。引申說一個小缺口沒有及時修補,將可能造成千百萬倍的損失。所以不要有任何的漏洞的零容忍,就可以做到絕對安全。

缺乏存取授權機制

儘管台積電的內網與網際網路是隔離的,然而「資安注定沒有絕對的安全」這回事,當內部資安弱點缺口出現時,就會認為實體隔離是安全的前提下,所以對其他的電腦設備採取信任,以致於僅僅只是一個小病毒,卻完全沒有防範措施。存取政策是廣泛安全政策中的一部分,對於資產的存取應基於僅知原則,在資安的管理上,多會要求「最小授權原則」,即工作上的業務範圍應該僅需要取得最小的授權,但此次病毒的傳播,透過無須開啟的通訊埠,散播的途徑與感染的範圍顯示缺乏存取的授權機制。
在台積電發生資安事件的當下,應立即進行的是「資安鑑識」,掌握資安事件的發生軌跡資料,數位鑑識揪出發生的源頭,但此次台積電內部人員第一時間考慮的卻是恢復產能,可以理解耽誤的時間就是金錢,但這回慶幸的是病毒的破壞力與軌跡不難被追蹤,否則後果將不堪設想。若是專業的駭客所進行的內部攻擊,恐怕要想正常恢復產能,將可能非數天的時間可以解決。 

資安設計仍然落後

資安工作要倚靠的是「管理」與「設計」,台積電的管理及內部控管,已經是國內廠商赫赫有名,然而「資安設計」卻仍然相當落後,例如:台積電各生產設備來自多個設備供應商,其作業系統包含Win XP、Win2000、Win7等,對於其設備的資安防護設計卻完全沒有要求,國際上對於產品採取資訊技術安全評估共同準則(Common Criteria 或CC)已有標準及方法,即便設備無通過國際認證,也應採取方法進行對設備的資安評估,此次資安事件僅是台積電注定要繳的學費爾爾。 
工程師 
本篇原址
https://tw.news.appledaily.com/headline/daily/20180807/38091046/

沒有留言:

網誌存檔