管好IT/OT風險　日月光放心轉型

日月光半導體資深副總陳光雄在一場公開演講中提及，當前勒索病毒型態持續轉變，企業防護思維也必須跟進，應改以零信任控管模式，制定資安管理辦法與投資部署技術輔助執行。

早在2011年左右就開始投入智慧製造的日月光，截至2020年底，已有18座「關燈工廠」。陳光雄回憶，當時的起源是日月光出貨量相當龐大、產品品項又多，管理生產過程中，人為疏失往往是重大致命傷。因此最初日月光是以提高產品品質、如期交貨為核心思維推動減少人力介入，讓機器自動執行重複性工作，降低人為疏失。後來再發展搬運車，系統資料可彙整輔助決策，把過去繁瑣的流程交給系統自動處理，人力可以有更多時間投入更具價值的工作項目，例如提升安全等級。

事實上，在生產線環境欲確保安全性，IT與OT環境必須完全實體隔離。陳光雄進一步說明，過去IT環境是部署防火牆來防堵攻擊入侵，逐年增添垃圾郵件、惡意網站過濾等機制，建立多層次防護體系提升安全性。發展至今資安界開始倡導主動式防護策略，採用零信任方式實現，不論任何人存取關鍵業務系統，皆必須通過身份認證，並且僅允許特定程式得以運行，此即為日月光現階段的資安管理策略。

其次必須釐清的是IT著重於企業整體資訊治理，OT則是作業現場技術管理，兩者的特性不同。例如OT環境特性包含24小時運作、禁止任意重新開機、設備替換週期為10到15年等方面；IT環境則是注重標準化、可依照需求重新開機、設備替換週期為3到8年。兩者之間必須相互融合，才能兼顧生產效率與安全性。

端點偵測及回應（EDR）可說是近期資安市場上較熱門的技術，主要是因應現代的病毒潛伏期較長，就算系統已經被植入木馬也看不出異狀，需要透過蒐集行為軌跡資料，運用機器學習演算判斷善意或惡意，針對可疑的檔案則可借助沙箱技術，在模擬環境中觀察執行過程，以避免遭遇零時差攻擊。再者，陳光雄指出，須運用白名單技術部署零信任防護、持續地偵測異常行為，以及制定事件回應計畫，如此一來，才足以降低惡意程式入侵造成的損害。

另一方面，目前製造業正在積極發展的工業物聯網（IIoT）與人工智慧結合，朝向工業4.0邁進，在此之前必須透過閘道器先蒐集連網裝置產生的資料，經由無線或有線網路遞送到雲端平台彙整為大數據，運行機器學習演算分析，最終結果再以儀表板方式呈現。例如藉由演算分析，可在馬達即將故障之前早一步偵測發現異常振動狀態，不至於等到停止運轉才開始查找問題根源。運用數位化的力量輔助加快決策速度，可有效地降低管理成本、提升產品品質、避免發生工安意外。