iPhone芯片生產(chǎn)商臺(tái)積電感染病毒，蘋果嚇壞了

三天虧了10多億！臺(tái)積電中毒“想哭”連累蘋果發(fā)新品

臺(tái)積電中毒，蘋果要哭

……

這幾天臺(tái)積電的事情鬧得沸沸揚(yáng)揚(yáng)。

事件主人公全球最大的半導(dǎo)體代工制造商臺(tái)積電踩了一腳雷，炸了自己不說還帶起一連串“蝴蝶效應(yīng)”。

8月3日晚間，臺(tái)灣中時(shí)電子報(bào)報(bào)道了臺(tái)積電位于臺(tái)灣新竹科學(xué)園區(qū)的12英寸晶圓廠和營運(yùn)總部，遭遇勒索軟件攻擊且生產(chǎn)線全數(shù)停擺的消息。幾個(gè)小時(shí)之內(nèi)，臺(tái)積電位于臺(tái)中科學(xué)園區(qū)的Fab 15廠，以及臺(tái)南科學(xué)園區(qū)的Fab 14廠也陸續(xù)傳出同樣消息，臺(tái)積電在臺(tái)灣北、中、南三處重要生產(chǎn)基地，同步因?yàn)槔账鬈浖肭侄鴮?dǎo)致生產(chǎn)線停擺。

事情發(fā)生沒多久，臺(tái)積電就對(duì)外宣稱公司已經(jīng)控制此病毒感染范圍，同時(shí)找到解決方案，受影響生產(chǎn)設(shè)備正逐步恢復(fù)生產(chǎn)。

這個(gè)消息被臺(tái)媒報(bào)道后乘著火箭四處擴(kuò)散，看熱鬧不嫌事大的群眾腦洞是無限的，大家的關(guān)注點(diǎn)歪了，種種陰謀論也喧囂之上。

iPhone還會(huì)如期發(fā)售吧？供貨緊張嗎？（雖然我買不起）；

華為出來背鍋了；

三星出來吧；

小米快來；

臺(tái)積電：呵呵

雖是這么說，8月6日下午5點(diǎn)，臺(tái)積電總裁魏哲家出來說話了，“沒內(nèi)賊沒外鬼，純粹是內(nèi)部操作失誤，損失了1.7億美元?！?/p>

魏哲家稱這次病毒是去年全球爆發(fā)的“WannaCry”的變種，在竹科廠房安裝新機(jī)臺(tái)時(shí)帶入，進(jìn)而蔓延至中科和南科廠房。

“臺(tái)積電數(shù)萬的機(jī)臺(tái)，這還是第一次發(fā)生這樣的事件。此前臺(tái)積電防范病毒的策略時(shí)在安裝新機(jī)臺(tái)時(shí)，先掃毒，再上線。而此次的失誤在于先上線了機(jī)臺(tái)，才進(jìn)行掃毒程序，于是就發(fā)生了事故?！?/p>

由于臺(tái)積電的所有機(jī)臺(tái)都是連線的，只要一臺(tái)感染，就會(huì)傳染至全部機(jī)臺(tái)。而越是先進(jìn)(工藝)的廠就越自動(dòng)化、越復(fù)雜，受影響程度也越大。這次受影響的主要是12英寸線和7nm工藝等先進(jìn)制程。

據(jù)其表示，目前臺(tái)積電所有機(jī)臺(tái)都為Windows7系統(tǒng)，新機(jī)臺(tái)也是Windows7，但并未“打補(bǔ)丁”，事故后將會(huì)對(duì)所有系統(tǒng)做更新。此次的WannaCry變種病毒與去年的WannaCry同樣傳播迅速，但所幸并不具備加密能力，所以對(duì)臺(tái)積電造成的影響不算大。8月5日機(jī)臺(tái)已全線恢復(fù)，在確保病毒沒有潛伏在其他地方之后，8月6日下午臺(tái)積電全線復(fù)工。

從去年“5.12”勒索軟件爆發(fā)以來，工業(yè)企業(yè)已經(jīng)成為勒索攻擊的重災(zāi)區(qū)，羅馬尼亞汽車企業(yè)（Dacia）、日產(chǎn)汽車桑德蘭工廠、西班牙電廠和天然氣企業(yè)等，國內(nèi)外已經(jīng)有多個(gè)行業(yè)的眾多大型工業(yè)企業(yè)因?yàn)樵庥隼账鬈浖舳．a(chǎn)。這些受害企業(yè)普遍遭遇的現(xiàn)象是工業(yè)生產(chǎn)網(wǎng)絡(luò)的工業(yè)主機(jī)出現(xiàn)藍(lán)屏，反復(fù)重啟，存儲(chǔ)生產(chǎn)資料的服務(wù)器被加密或文件丟失，從而影響生產(chǎn)，甚至造成停產(chǎn)。

就著臺(tái)積電這事，雷鋒網(wǎng)和360工業(yè)互聯(lián)網(wǎng)安全事業(yè)部副總經(jīng)理李航聊了聊。

問：此次病毒是 WannaCry 的變種？

李航：臺(tái)積電這次的事情與去年512的“永恒之藍(lán)”事件其實(shí)是有共性的，具體來說有幾個(gè)特點(diǎn)：

1、都為隔離網(wǎng)。

一些采用了隔離網(wǎng)的廠商認(rèn)為只要我的網(wǎng)絡(luò)不與互聯(lián)網(wǎng)連接就能避免一切攻擊。但現(xiàn)實(shí)總會(huì)殘忍打臉，永恒之藍(lán)就是在隔離網(wǎng)內(nèi)的病毒爆發(fā)形式，臺(tái)積電的內(nèi)部生產(chǎn)線也是一種隔離網(wǎng)絡(luò)出現(xiàn)的一種病毒被攻擊、被傳染。

2、隔離網(wǎng)內(nèi)部網(wǎng)絡(luò)安全整個(gè)架構(gòu)、措施相對(duì)松懈，技術(shù)管理不到位，存在眾多工控安全隱患。在使用過程中為了方便可能會(huì)使用不安全的移動(dòng)介質(zhì)比如隨意插拔U盤，或者運(yùn)營過程中請(qǐng)外部工程師做應(yīng)用升級(jí)。

3、作為工業(yè)企業(yè)的臺(tái)積電，工控系統(tǒng)的操作系統(tǒng)版本很多還停留在Windows  XP，要知道XP版本在“永恒之藍(lán)”事件之前已經(jīng)被微軟打入冷宮，停止補(bǔ)丁了。工控操作系統(tǒng)并不會(huì)像個(gè)人電腦定期升級(jí)，首先因?yàn)楦綦x網(wǎng)的存在不能連接網(wǎng)絡(luò)升級(jí)，另一方面，因?yàn)楹ε抡`殺一些應(yīng)用，整個(gè)系統(tǒng)會(huì)是“裸奔”狀態(tài)，根本沒有殺毒軟件。

其實(shí)臺(tái)積電一直以來都有各種安全措施，但仍會(huì)出現(xiàn)這樣的問題，說明做好靜態(tài)的網(wǎng)絡(luò)安全防御是不夠的，需要進(jìn)行新的思路和方法持續(xù)做安全。在這次事件之后，臺(tái)積電應(yīng)該會(huì)加強(qiáng)安全防御措施。

問：8月3號(hào)當(dāng)天，一個(gè)廠出現(xiàn)停擺，幾小時(shí)之后另外兩個(gè)小區(qū)出現(xiàn)了同樣情況，在這幾小時(shí)臺(tái)積電沒有有效抑制病毒蔓延，為什么？

李航：有幾個(gè)方面的原因，首先是操作人員對(duì)安全事件認(rèn)識(shí)不夠。作為現(xiàn)場(chǎng)人員應(yīng)該對(duì)系統(tǒng)狀態(tài)做到了如指掌，包括某一兩條機(jī)器出現(xiàn)問題應(yīng)該如何處理，以及機(jī)器大規(guī)模出現(xiàn)問題應(yīng)該如何處理。

其實(shí)是技術(shù)能力問題，機(jī)器出現(xiàn)大規(guī)模問題時(shí)候應(yīng)該做好感染區(qū)的隔離，保證不向外擴(kuò)散，然后啟動(dòng)緊急預(yù)案。

第三點(diǎn)，如果公司本身沒有安全團(tuán)隊(duì)，需要臨時(shí)從外面調(diào)安全團(tuán)隊(duì)，在溝通上會(huì)存在問題。因此像傳統(tǒng)網(wǎng)絡(luò)安全定期進(jìn)行應(yīng)急演練，是很有必要的。

問：臺(tái)積電為什么可以很快恢復(fù)？

李航：我的判斷是臺(tái)積電的生產(chǎn)數(shù)據(jù)備份非常好，在工業(yè)環(huán)境中主機(jī)已經(jīng)固化功能情況下，一旦系統(tǒng)出現(xiàn)問題最直接的辦法就是停機(jī)，ghost恢復(fù)，又可以重新開始工作，在最早時(shí)間降低損失。

問：為什么工業(yè)環(huán)境打補(bǔ)丁、更新困難？

李航：工業(yè)環(huán)境中帶病運(yùn)行是常態(tài)，這就像人體一樣，時(shí)刻接觸病毒，只不過人體免疫系統(tǒng)可以將這些病毒抵擋在外，一旦抵抗力下降，這些病毒就可能灌進(jìn)身體。

工業(yè)環(huán)境亦是如此，最長的核電站可能運(yùn)行了60年，它需要的是連續(xù)生產(chǎn)和可靠性運(yùn)行，所以做不到不斷升級(jí)。多數(shù)工業(yè)企業(yè)只能忍受這些病毒，只要不影響生產(chǎn)就不輕易碰觸。

當(dāng)然，在工業(yè)環(huán)境中及時(shí)升級(jí)或打補(bǔ)丁的機(jī)會(huì)是很難的，原因有幾點(diǎn)：

1、升級(jí)、打補(bǔ)丁可能會(huì)使本可以工作的系統(tǒng)不能工作。工業(yè)軟件不像商用軟件那么強(qiáng)壯，商用軟件因?yàn)橛脩糨^多，出現(xiàn)問題會(huì)及時(shí)解決，整個(gè)軟件都在不斷迭代，但工業(yè)軟件只要能實(shí)現(xiàn)固定功能就算可用。在這種情況下打補(bǔ)丁或者進(jìn)行病毒查殺，可能直接把工業(yè)環(huán)境中一些正常運(yùn)行的東西殺掉，而使其不能工作。

2、其實(shí)在工業(yè)場(chǎng)景中升級(jí)系統(tǒng)非常小心。比如臺(tái)積電這樣的企業(yè)連續(xù)不斷地進(jìn)行生產(chǎn)，停擺一天造成的損失很大，所以每次升級(jí)系統(tǒng)需要有計(jì)劃地安排時(shí)間暫停生產(chǎn)。否則對(duì)企業(yè)的經(jīng)濟(jì)收入會(huì)造成影響。

3、另外，由于工業(yè)環(huán)境里445的端口為長期使用的業(yè)務(wù)端口，即使打了補(bǔ)丁也可能出現(xiàn)安全問題。

問：工業(yè)企業(yè)之后應(yīng)該采取什么安全防御機(jī)制？

李航：通過臺(tái)積電事件，我覺得可以從幾個(gè)方面加強(qiáng)工控領(lǐng)域的安全保護(hù)。

首先，臺(tái)積電這次的事件主要是新機(jī)，而廠商實(shí)際應(yīng)該對(duì)整個(gè)資產(chǎn)并入可能出現(xiàn)的情況有預(yù)案，如果沒有說明對(duì)資產(chǎn)再生性、對(duì)整個(gè)生產(chǎn)資產(chǎn)的掌握程度不夠。

其次，需要加強(qiáng)終端的保護(hù)能力，因?yàn)椴《井吘故菣M向傳播，最終形成攻擊控制電腦上。

還有一方面是要注重整個(gè)安全體系的健全。對(duì)企業(yè)來經(jīng)常自查或評(píng)估可以有的放矢的發(fā)現(xiàn)自身問題，或者對(duì)網(wǎng)絡(luò)流量、信息流量的檢測(cè)手段也很必要。因?yàn)楝F(xiàn)在邁向大數(shù)據(jù)時(shí)代，數(shù)據(jù)也是一種能用的資產(chǎn)，所以資產(chǎn)實(shí)際上我們不僅僅只是一個(gè)物理，或是什么樣的，它其實(shí)還是有一個(gè)流通動(dòng)態(tài)的東西，

只要做到這些，再加上一些管理措施就能達(dá)到一定的保護(hù)效果。

當(dāng)然反過來說，不存在絕對(duì)的安全，只能說這些安全措施的采取能使我們處于更高級(jí)更主動(dòng)的位置，就像現(xiàn)在臺(tái)積電雖然爆發(fā)安全問題，但同樣也有安全手段保護(hù)。

問：是否可以改變工業(yè)企業(yè)帶病運(yùn)行的現(xiàn)狀？

李航：不帶病運(yùn)行實(shí)際上難度是很大的，其實(shí)工控系統(tǒng)面臨兩種狀態(tài)：

第一種我習(xí)慣管它叫“存量市場(chǎng)”，存量市場(chǎng)的概念是工控系統(tǒng)擺在那里持續(xù)運(yùn)行，在此過程中我們可以進(jìn)行定期的升級(jí)、改造，安全建設(shè)包括技術(shù)、包括管理、包括資產(chǎn)檢測(cè)等，這種都是可以做的，但工控系統(tǒng)先天的結(jié)構(gòu)安全不足的特點(diǎn)，是無法改變的，安全基因如此，所做的更多的是安全的補(bǔ)充。

第二種是“增量市場(chǎng)”，比如我們國內(nèi)目前推的智能制造戰(zhàn)略，一些廠商可能會(huì)新建整廠，這就需要在設(shè)計(jì)過程中，考慮到自己存在的安全問題，并且把整個(gè)安全措施和業(yè)務(wù)鏈結(jié)合起來，從設(shè)計(jì)開始，建立工控系統(tǒng)的安全體系。

想要在這兩種狀態(tài)中完全避免病毒是很難的，只能利用體系化的安全措施盡可能抑制病毒，并且通過技術(shù)和管理雙向把控剔除威脅來源。

所以帶病運(yùn)行很難完全根除，所有工業(yè)環(huán)境中“白環(huán)境”都是加引號(hào)的，只能盡可能去完善安全環(huán)境，不可能完全隔絕，就像人不可能生活在真空中完全避免所有病菌。

建立所有工業(yè)企業(yè)的免疫系統(tǒng)還是很重要的，我對(duì)免疫系統(tǒng)的理解是利用在線監(jiān)測(cè)、狀態(tài)預(yù)測(cè)分析、持續(xù)的系統(tǒng)保護(hù)等種種手段進(jìn)行整體性的保護(hù)，而不僅僅只是把邊界做好，隔離網(wǎng)就完事了。其實(shí)這次臺(tái)積電事件就是扎好了邊界，但病毒總有別的途徑進(jìn)入內(nèi)網(wǎng)，爆發(fā)情況。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。