iPhone芯片生產(chǎn)商臺積電感染病毒，蘋果嚇壞了

三天虧了10多億！臺積電中毒“想哭”連累蘋果發(fā)新品

臺積電中毒，蘋果要哭

……

這幾天臺積電的事情鬧得沸沸揚揚。

事件主人公全球最大的半導體代工制造商臺積電踩了一腳雷，炸了自己不說還帶起一連串“蝴蝶效應”。

8月3日晚間，臺灣中時電子報報道了臺積電位于臺灣新竹科學園區(qū)的12英寸晶圓廠和營運總部，遭遇勒索軟件攻擊且生產(chǎn)線全數(shù)停擺的消息。幾個小時之內(nèi)，臺積電位于臺中科學園區(qū)的Fab 15廠，以及臺南科學園區(qū)的Fab 14廠也陸續(xù)傳出同樣消息，臺積電在臺灣北、中、南三處重要生產(chǎn)基地，同步因為勒索軟件入侵而導致生產(chǎn)線停擺。

事情發(fā)生沒多久，臺積電就對外宣稱公司已經(jīng)控制此病毒感染范圍，同時找到解決方案，受影響生產(chǎn)設備正逐步恢復生產(chǎn)。

這個消息被臺媒報道后乘著火箭四處擴散，看熱鬧不嫌事大的群眾腦洞是無限的，大家的關(guān)注點歪了，種種陰謀論也喧囂之上。

iPhone還會如期發(fā)售吧？供貨緊張嗎？（雖然我買不起）；

華為出來背鍋了；

三星出來吧；

小米快來；

臺積電：呵呵

雖是這么說，8月6日下午5點，臺積電總裁魏哲家出來說話了，“沒內(nèi)賊沒外鬼，純粹是內(nèi)部操作失誤，損失了1.7億美元?！?/p>

魏哲家稱這次病毒是去年全球爆發(fā)的“WannaCry”的變種，在竹科廠房安裝新機臺時帶入，進而蔓延至中科和南科廠房。

“臺積電數(shù)萬的機臺，這還是第一次發(fā)生這樣的事件。此前臺積電防范病毒的策略時在安裝新機臺時，先掃毒，再上線。而此次的失誤在于先上線了機臺，才進行掃毒程序，于是就發(fā)生了事故。”

由于臺積電的所有機臺都是連線的，只要一臺感染，就會傳染至全部機臺。而越是先進(工藝)的廠就越自動化、越復雜，受影響程度也越大。這次受影響的主要是12英寸線和7nm工藝等先進制程。

據(jù)其表示，目前臺積電所有機臺都為Windows7系統(tǒng)，新機臺也是Windows7，但并未“打補丁”，事故后將會對所有系統(tǒng)做更新。此次的WannaCry變種病毒與去年的WannaCry同樣傳播迅速，但所幸并不具備加密能力，所以對臺積電造成的影響不算大。8月5日機臺已全線恢復，在確保病毒沒有潛伏在其他地方之后，8月6日下午臺積電全線復工。

從去年“5.12”勒索軟件爆發(fā)以來，工業(yè)企業(yè)已經(jīng)成為勒索攻擊的重災區(qū)，羅馬尼亞汽車企業(yè)（Dacia）、日產(chǎn)汽車桑德蘭工廠、西班牙電廠和天然氣企業(yè)等，國內(nèi)外已經(jīng)有多個行業(yè)的眾多大型工業(yè)企業(yè)因為遭遇勒索軟件攻擊而停產(chǎn)。這些受害企業(yè)普遍遭遇的現(xiàn)象是工業(yè)生產(chǎn)網(wǎng)絡的工業(yè)主機出現(xiàn)藍屏，反復重啟，存儲生產(chǎn)資料的服務器被加密或文件丟失，從而影響生產(chǎn)，甚至造成停產(chǎn)。

就著臺積電這事，雷鋒網(wǎng)和360工業(yè)互聯(lián)網(wǎng)安全事業(yè)部副總經(jīng)理李航聊了聊。

問：此次病毒是 WannaCry 的變種？

李航：臺積電這次的事情與去年512的“永恒之藍”事件其實是有共性的，具體來說有幾個特點：

1、都為隔離網(wǎng)。

一些采用了隔離網(wǎng)的廠商認為只要我的網(wǎng)絡不與互聯(lián)網(wǎng)連接就能避免一切攻擊。但現(xiàn)實總會殘忍打臉，永恒之藍就是在隔離網(wǎng)內(nèi)的病毒爆發(fā)形式，臺積電的內(nèi)部生產(chǎn)線也是一種隔離網(wǎng)絡出現(xiàn)的一種病毒被攻擊、被傳染。

2、隔離網(wǎng)內(nèi)部網(wǎng)絡安全整個架構(gòu)、措施相對松懈，技術(shù)管理不到位，存在眾多工控安全隱患。在使用過程中為了方便可能會使用不安全的移動介質(zhì)比如隨意插拔U盤，或者運營過程中請外部工程師做應用升級。

3、作為工業(yè)企業(yè)的臺積電，工控系統(tǒng)的操作系統(tǒng)版本很多還停留在Windows  XP，要知道XP版本在“永恒之藍”事件之前已經(jīng)被微軟打入冷宮，停止補丁了。工控操作系統(tǒng)并不會像個人電腦定期升級，首先因為隔離網(wǎng)的存在不能連接網(wǎng)絡升級，另一方面，因為害怕誤殺一些應用，整個系統(tǒng)會是“裸奔”狀態(tài)，根本沒有殺毒軟件。

其實臺積電一直以來都有各種安全措施，但仍會出現(xiàn)這樣的問題，說明做好靜態(tài)的網(wǎng)絡安全防御是不夠的，需要進行新的思路和方法持續(xù)做安全。在這次事件之后，臺積電應該會加強安全防御措施。

問：8月3號當天，一個廠出現(xiàn)停擺，幾小時之后另外兩個小區(qū)出現(xiàn)了同樣情況，在這幾小時臺積電沒有有效抑制病毒蔓延，為什么？

李航：有幾個方面的原因，首先是操作人員對安全事件認識不夠。作為現(xiàn)場人員應該對系統(tǒng)狀態(tài)做到了如指掌，包括某一兩條機器出現(xiàn)問題應該如何處理，以及機器大規(guī)模出現(xiàn)問題應該如何處理。

其實是技術(shù)能力問題，機器出現(xiàn)大規(guī)模問題時候應該做好感染區(qū)的隔離，保證不向外擴散，然后啟動緊急預案。

第三點，如果公司本身沒有安全團隊，需要臨時從外面調(diào)安全團隊，在溝通上會存在問題。因此像傳統(tǒng)網(wǎng)絡安全定期進行應急演練，是很有必要的。

問：臺積電為什么可以很快恢復？

李航：我的判斷是臺積電的生產(chǎn)數(shù)據(jù)備份非常好，在工業(yè)環(huán)境中主機已經(jīng)固化功能情況下，一旦系統(tǒng)出現(xiàn)問題最直接的辦法就是停機，ghost恢復，又可以重新開始工作，在最早時間降低損失。

問：為什么工業(yè)環(huán)境打補丁、更新困難？

李航：工業(yè)環(huán)境中帶病運行是常態(tài)，這就像人體一樣，時刻接觸病毒，只不過人體免疫系統(tǒng)可以將這些病毒抵擋在外，一旦抵抗力下降，這些病毒就可能灌進身體。

工業(yè)環(huán)境亦是如此，最長的核電站可能運行了60年，它需要的是連續(xù)生產(chǎn)和可靠性運行，所以做不到不斷升級。多數(shù)工業(yè)企業(yè)只能忍受這些病毒，只要不影響生產(chǎn)就不輕易碰觸。

當然，在工業(yè)環(huán)境中及時升級或打補丁的機會是很難的，原因有幾點：

1、升級、打補丁可能會使本可以工作的系統(tǒng)不能工作。工業(yè)軟件不像商用軟件那么強壯，商用軟件因為用戶較多，出現(xiàn)問題會及時解決，整個軟件都在不斷迭代，但工業(yè)軟件只要能實現(xiàn)固定功能就算可用。在這種情況下打補丁或者進行病毒查殺，可能直接把工業(yè)環(huán)境中一些正常運行的東西殺掉，而使其不能工作。

2、其實在工業(yè)場景中升級系統(tǒng)非常小心。比如臺積電這樣的企業(yè)連續(xù)不斷地進行生產(chǎn)，停擺一天造成的損失很大，所以每次升級系統(tǒng)需要有計劃地安排時間暫停生產(chǎn)。否則對企業(yè)的經(jīng)濟收入會造成影響。

3、另外，由于工業(yè)環(huán)境里445的端口為長期使用的業(yè)務端口，即使打了補丁也可能出現(xiàn)安全問題。

問：工業(yè)企業(yè)之后應該采取什么安全防御機制？

李航：通過臺積電事件，我覺得可以從幾個方面加強工控領(lǐng)域的安全保護。

首先，臺積電這次的事件主要是新機，而廠商實際應該對整個資產(chǎn)并入可能出現(xiàn)的情況有預案，如果沒有說明對資產(chǎn)再生性、對整個生產(chǎn)資產(chǎn)的掌握程度不夠。

其次，需要加強終端的保護能力，因為病毒畢竟是橫向傳播，最終形成攻擊控制電腦上。

還有一方面是要注重整個安全體系的健全。對企業(yè)來經(jīng)常自查或評估可以有的放矢的發(fā)現(xiàn)自身問題，或者對網(wǎng)絡流量、信息流量的檢測手段也很必要。因為現(xiàn)在邁向大數(shù)據(jù)時代，數(shù)據(jù)也是一種能用的資產(chǎn)，所以資產(chǎn)實際上我們不僅僅只是一個物理，或是什么樣的，它其實還是有一個流通動態(tài)的東西，

只要做到這些，再加上一些管理措施就能達到一定的保護效果。

當然反過來說，不存在絕對的安全，只能說這些安全措施的采取能使我們處于更高級更主動的位置，就像現(xiàn)在臺積電雖然爆發(fā)安全問題，但同樣也有安全手段保護。

問：是否可以改變工業(yè)企業(yè)帶病運行的現(xiàn)狀？

李航：不帶病運行實際上難度是很大的，其實工控系統(tǒng)面臨兩種狀態(tài)：

第一種我習慣管它叫“存量市場”，存量市場的概念是工控系統(tǒng)擺在那里持續(xù)運行，在此過程中我們可以進行定期的升級、改造，安全建設包括技術(shù)、包括管理、包括資產(chǎn)檢測等，這種都是可以做的，但工控系統(tǒng)先天的結(jié)構(gòu)安全不足的特點，是無法改變的，安全基因如此，所做的更多的是安全的補充。

第二種是“增量市場”，比如我們國內(nèi)目前推的智能制造戰(zhàn)略，一些廠商可能會新建整廠，這就需要在設計過程中，考慮到自己存在的安全問題，并且把整個安全措施和業(yè)務鏈結(jié)合起來，從設計開始，建立工控系統(tǒng)的安全體系。

想要在這兩種狀態(tài)中完全避免病毒是很難的，只能利用體系化的安全措施盡可能抑制病毒，并且通過技術(shù)和管理雙向把控剔除威脅來源。

所以帶病運行很難完全根除，所有工業(yè)環(huán)境中“白環(huán)境”都是加引號的，只能盡可能去完善安全環(huán)境，不可能完全隔絕，就像人不可能生活在真空中完全避免所有病菌。

建立所有工業(yè)企業(yè)的免疫系統(tǒng)還是很重要的，我對免疫系統(tǒng)的理解是利用在線監(jiān)測、狀態(tài)預測分析、持續(xù)的系統(tǒng)保護等種種手段進行整體性的保護，而不僅僅只是把邊界做好，隔離網(wǎng)就完事了。其實這次臺積電事件就是扎好了邊界，但病毒總有別的途徑進入內(nèi)網(wǎng)，爆發(fā)情況。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。