查其他同业是否有案例
台积电产线中毒大当机,52亿元资安震撼教育
工业电脑大厂研华证实部分服务器被攻击
仁宝否认勒索软件攻击传闻,并认为疑似是骇客入侵造成网路异常
搜寻相关讨论文章
勒索软件对制造业网路的冲击
分析的方向
根据Risk,要确认Process有将Technology放在适当的地方做Control
产业需要注意的地方
利用Purdue企业模型分开IT及OT,将设备分类不同的Level,并使用不同的管理稽核
Cisco这张图将传统网路拓谱图加上Purdue企业模型,方便查看跨Level有没有相对应的防御或控制
来源:https://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/5-1/OEM/WP/CPwE-5-1-OEM-WP/CPwE-5-1-OEM-WP.html
接着与ISO27001一样流程,四阶文件、资产盘点、风险分析、风险评监...
IEC62443 3-3 控制系统(Control System, CS),首先确认目标需要达到的security levels(SL)
图片来源:https://syc-se.iec.ch/deliveries/cybersecurity-guidelines/security-standards-and-best-practices/iec-62443/
下图是FR1的security requirements(SR)及requirement enhancements (RE),越高的SL需要完成更多的RE
图片来源:https://www.slideshare.net/Yokogawa1/secure-systems-security-and-isa99-iec62443
根据要求从帐号密码控制,帐号权限管控,多因子验证及活体侦测等等往上增加security levels
以台积电为例,成立供应商资讯安全协会,逐步要求供应商达到一定的安全水准,避免防护能力弱的一方成为破口。
图片来源: https://csr.tsmc.com/csr/ch/update/innovationAndService/caseStudy/23/index.html
将资安扫描工具整进CI/CD流程,一来在开发期间提早发现问题做修改,二来使用自动化脚本减少人力负担
这需要将资安的观念带给开发及维运人员(教育训练),使资安思维融入每个环节,资安单位也需要去理解其他部门为什麽会这样做,在控制的力道达到一个平衡点并视情况使用补偿措施。
图片来源: https://www.dau.edu/cop/cybersecurity/DAU%20Sponsored%20Documents/5.%20%20Day%20of%20Cyber_DevSecOps.pdf
经济部-01-工控物联网共通性资安指南
02-工控设备业工控物联网资安实务指南
接连上一篇试了一些unity 连线的方式 最後方案底定,使用 webservice 的技术 ,然後连...
Context Context 是 React 提供的一个 API 其功能有: 统一存放共用参数,实...
因为旋转时需要以某个点为旋转中心,这边需要特别用由 OpenCV 提供的shape函式找出图片的长与...
9/13 的伴伴学影音记录,聊聊 缩址服务的 GA 欢迎交流 共笔: https://hackmd....
本篇文章的Unreal engine 4 版本为 4.25.3 认识了骨架之後当然要让角色动起来,因...