整體來說,資安威脅在以下情況最具殺傷力:工業物聯網 (IIoT)、智能車、電子/資訊產業供應鏈、數位交易/電子數據交換。於是,從半導體設備、晶片設計、製造、系統、組裝,直到電子裝置/成品等產品生命週期終了 (EOL),為避免難以估算的損失,莫不開始信奉「零信任」(Zero Trust) 準則;繼 HSM (硬體安全模組)、TPM (信賴平台模組) 後,現在更有半導體大廠主張以 IP (智財權) 形式的 PUF-based 信任根、建構獨特「晶片指紋」,達到嚴密保護系統的目的。
與此同時,密鑰儲存也是焦點議題。就晶片立場而言,相較於傳統 eFUSE 僅能訴求讓反向工程無從辨識存放內容,反熔絲 OTP (一次性可編程) 可讓駭客根本找不到鑰匙存放的確切位置,相對更安全;聚焦於系統金鑰管理的業者從密碼學角度,提出資安應具備四大屬性:保密性、完整性、可用性、不可否認性,且當今資安觀念已由保護網路、轉變為保護資料/應用。落實到應用面,致力於「一站式」資安服務業者則認為企業/組織應以「資安防護四防線」建立防禦縱深。
工業資安影響最為巨大的當數供應鏈供擊,值得留意的是,製造業資安事件有半數是因新購設備進廠前未確實完成安檢、致使自帶威脅進入場域而觸發;有鑑於此,半導體率先於 2019 年推動首個由台灣主導之產線設備資安標準——SEMI E187 規範,系統整合商 (SI) 亦有配套措施,將資安防護重心放在資訊資產管理 (IAM)、電腦安全組態基準 (政府組態基準 GCB/金融組態基準 FCB) 以及軟體弱點管理系統 (VANS)。汽車則是另一個資安鬥智的場域。
受到汽車製造商的客戶端拉動,汽車電子廠商不得不日益重視信賴性;以 ISO 26262 為基礎,鎖定資訊安全的 ISO 21434,以及為自駕車預作準備的 ISO 21448 (SOTIF) 新規正在加速上路。最後則是與普羅大眾最切身相關的數位交易/電子數據交換,由於高速運算技術的突飛猛進,再複雜的密碼恐怕都不再是安全保證;因此,能與國際資安規範相呼應、且 Passkeys (金鑰) 可抵擋「釣魚攻擊」的無密碼「FIDO」(Fast IDentity Online) 快速認證身分機制,勢力正在急遽擴張中。
