在前兩篇文章中，我們已經說明了兩個關鍵事實：第一，當設備無法更新時，Virtual Patch 是必要的風險控制手段；第二，沒有 AI 自動化的 Virtual Patch，難以長期維持。那麼，這樣的策略在真實產業現場，究竟是如何落地的？以下，我們從三個最具代表性的產業場域，來看 Virtual Patch的實際應用。 一、半導體製造：一台設備出事，整條產線都可能停擺 現場現實 在半導體製程中，一條產線往往串接數十種不同用途的設備，例如： 製程設備（Process Tool） 檢測與量測設備（Metrology / Inspection） 搬運與自動化系統（AMHS） MES / EDA / Recipe Server 這些設備形成一個高度互聯的大型內部網路。 問題在於：其中許多設備使用年限長、OS 老舊，無法即時更新，也不適合安裝任何 agent。 真正的風險 一旦駭客透過： 漏洞 後門 社交工程 成功入侵其中一台設備，就可能沿著設備間的通訊路徑，在內網中進行橫向移動（Lateral Movement），影響其他關鍵設備，最終導致產線停擺。 V

在上一篇文章中，我們談到：當設備無法更新時，微網段是最務實的 Virtual Patch。但在實務現場，另一個更關鍵的問題往往隨之而來：Virtual Patch 做得出來，但真的能長期維持嗎？答案，往往卡在同一個瓶頸上——人力維護成本。 傳統 Virtual Patch 的三個現實困境 在多數企業或設備環境中，Virtual Patch 的實作並不是做不到，而是做了之後很快失效。 一、規則高度仰賴人工建立 傳統 Virtual Patch 需要： 人工分析設備通訊行為 手動建立防火牆或隔離規則 持續追蹤哪些連線「該開、該關」 在實驗室環境也許可行，但在真實產線中，這樣的方式難以規模化。 二、白名單極易失效 設備並非靜態存在： 定期維修 軟體版本更新 製程調整 新系統或新設備加入 任何一個變動，都可能讓原本正確的白名單瞬間失效，導致不是誤阻正常生產，就是被迫放寬規則、形同虛設。 三、 維運成本隨時間指數型上升 在實務經驗中： 一台設備可能有 20–200 條正常通訊行為 一條產線可能有 數十到數百台設備 每次調整都需要專業人力重新確認 結果就是：

在理想的世界裡，所有資安漏洞都能即時修補。但在真實的產業環境中，「不能更新」往往才是常態，而不是例外。半導體設備、醫療儀器、工控系統、關鍵基礎設施中，充斥著大量 EOS / EOL（End of Support / End of Life）設備。這些設備仍在產線或臨床環境中扮演關鍵角色，但卻已無法再獲得原廠安全更新。 當漏洞無法被「真正修補」時，企業該怎麼辦？ 答案就是：Virtual Patch（虛擬修補）。 什麼是 Virtual Patch？ Virtual Patch 並不是去修補程式碼或更新作業系統， 而是在漏洞被真正修好之前，先切斷攻擊路徑，阻止漏洞被利用。 簡單來說： 漏洞還在，但攻擊進不來。 Virtual Patch 常見於以下情境： 老舊設備無法更新 更新需停機、影響產線或醫療作業 裝置已通過認證，不宜更動系統 原廠尚未提供正式修補 在這些場景中，Virtual Patch 不是權宜之計，而是唯一可行的風險控制手段。 為什麼傳統 Virtual Patch 常常不夠？ 過去的 Virtual Patch 多半依賴： 邊界防火牆

近年來，國際對「產品資安（Product Cybersecurity）」的要求快速提升。  無論是半導體設備、醫療器材，或是連網 IoT 裝置，監管機構愈來愈要求產品於出貨前具備可驗證的資安能力。   三大核心法規正引領這股潮流：   SEMI E187：SEMI國際半導體協會第一個且最被廣為採納的治安標準 EU Cyber Resilience Act（CRA）：歐盟針對含數位元件產品的資安法規   FDA Cybersecurity Guidance：美國醫療器材資安指引   儘管三者針對不同領域，但共同點明確──   產品必須能控制與限制其網路行為，避免成為供應鏈的攻擊跳板。   這正是「微網段（Micro‑Segmentation）」成為產品資安核心技術的根本原因。   一、三大法規真正的共同點：「設備不能任意通訊」   1. SEMI E187：進入晶圓廠前的資安最低門檻   SEMI E187 明確要求設備於出貨前就要具備設計階段的資安基線，包括「網路安全」「OS 支援」「端點防護」等四大範疇。   核心：設備不得成為晶圓廠內部橫向移

半導體資安的隱形戰場：當智慧製造遇上網路威脅 在台灣引以為傲的半導體產業中，每一座晶圓廠都是一個高度連網的數位生態系統。從精密的晶圓傳輸機(Wafer Loader)、價值數億的極紫外光曝光機(EUV Scanner)、化學機械研磨設備(CMP)，到濕製程清洗機與自動化測試封裝系統，這些設備透過 SECS/GEM、OPC-UA、Modbus 等工業通訊協定，每秒進行數萬次的資料交換與製程協調。 這種「智慧製造」(Smart Manufacturing)帶來了前所未有的效率與良率，卻也打開了資安風險的潘朵拉之盒。根據 Bitsight 2025 年產業報告，製造業在 2024 年至 2025 年第一季期間，威脅行為者活動激增 71%，共有 29 個不同的威脅組織鎖定該產業。IBM 2024 年資料外洩成本報告顯示，工業部門的平均資料外洩成本達 556 萬美元(約新台幣 1.7 億元)，較 2023 年增加 18%。對於半導體製造而言，單片 12 吋晶圓在高階應用(如 AI、高效能運算或車用晶片)中價值可超過 2 萬美元，若在關鍵製程階段(如光刻或電

打破迷思，讓供應商更快掌握合規方向 近年來，隨著台積電、Intel 等國際半導體大廠陸續要求供應鏈導入 SEMI E187 資安規範，越來越多設備商開始投入「E187 認證」、「稽核準備」與「合規流程」的導入作業。然而，Janus 團隊在輔導過程中發現，市場上對於 SEMI E187 存在許多誤解，導致部分廠商在準備時方向錯誤，甚至浪費了時間與成本。本文整理出最常見的三個誤解，幫助您釐清觀念、加速合規。 誤解 1｜SEMI E187 是「半導體廠房」的資安合規 許多供應商誤以為 SEMI E187 是「半導體晶圓廠（Fab）」內部的資安要求，但事實上——E187 是針對「半導體設備」的資安規範。也就是說，當您的設備（例如晶圓傳輸機、蝕刻機、光刻機等）要交付給半導體客戶之前，必須先完成資安防護與自我稽核報告。 簡而言之：執行主體是設備供應商，不是半導體廠。 目的 是確保設備進入 Fab 前就已符合最低安全基準，不會成為潛在資安破口。 因此 SEMI E187 被稱為「供應鏈資安基準」——它定義了 出貨前 的安全責任。 誤解 2｜SEMI E187