0
iPhone芯片生產商臺積電感染病毒,蘋果嚇壞了
三天虧了10多億!臺積電中毒“想哭”連累蘋果發新品
臺積電中毒,蘋果要哭
……
這幾天臺積電的事情鬧得沸沸揚揚。
事件主人公全球最大的半導體代工制造商臺積電踩了一腳雷,炸了自己不說還帶起一連串“蝴蝶效應”。
8月3日晚間,臺灣中時電子報報道了臺積電位于臺灣新竹科學園區的12英寸晶圓廠和營運總部,遭遇勒索軟件攻擊且生產線全數停擺的消息。幾個小時之內,臺積電位于臺中科學園區的Fab 15廠,以及臺南科學園區的Fab 14廠也陸續傳出同樣消息,臺積電在臺灣北、中、南三處重要生產基地,同步因為勒索軟件入侵而導致生產線停擺。
事情發生沒多久,臺積電就對外宣稱公司已經控制此病毒感染范圍,同時找到解決方案,受影響生產設備正逐步恢復生產。
這個消息被臺媒報道后乘著火箭四處擴散,看熱鬧不嫌事大的群眾腦洞是無限的,大家的關注點歪了,種種陰謀論也喧囂之上。
iPhone還會如期發售吧?供貨緊張嗎?(雖然我買不起);
華為出來背鍋了;
三星出來吧;
小米快來;
臺積電:呵呵
雖是這么說,8月6日下午5點,臺積電總裁魏哲家出來說話了,“沒內賊沒外鬼,純粹是內部操作失誤,損失了1.7億美元。”
魏哲家稱這次病毒是去年全球爆發的“WannaCry”的變種,在竹科廠房安裝新機臺時帶入,進而蔓延至中科和南科廠房。
“臺積電數萬的機臺,這還是第一次發生這樣的事件。此前臺積電防范病毒的策略時在安裝新機臺時,先掃毒,再上線。而此次的失誤在于先上線了機臺,才進行掃毒程序,于是就發生了事故。”
由于臺積電的所有機臺都是連線的,只要一臺感染,就會傳染至全部機臺。而越是先進(工藝)的廠就越自動化、越復雜,受影響程度也越大。這次受影響的主要是12英寸線和7nm工藝等先進制程。
據其表示,目前臺積電所有機臺都為Windows7系統,新機臺也是Windows7,但并未“打補丁”,事故后將會對所有系統做更新。此次的WannaCry變種病毒與去年的WannaCry同樣傳播迅速,但所幸并不具備加密能力,所以對臺積電造成的影響不算大。8月5日機臺已全線恢復,在確保病毒沒有潛伏在其他地方之后,8月6日下午臺積電全線復工。
從去年“5.12”勒索軟件爆發以來,工業企業已經成為勒索攻擊的重災區,羅馬尼亞汽車企業(Dacia)、日產汽車桑德蘭工廠、西班牙電廠和天然氣企業等,國內外已經有多個行業的眾多大型工業企業因為遭遇勒索軟件攻擊而停產。這些受害企業普遍遭遇的現象是工業生產網絡的工業主機出現藍屏,反復重啟,存儲生產資料的服務器被加密或文件丟失,從而影響生產,甚至造成停產。
就著臺積電這事,雷鋒網和360工業互聯網安全事業部副總經理李航聊了聊。
李航:臺積電這次的事情與去年512的“永恒之藍”事件其實是有共性的,具體來說有幾個特點:
1、都為隔離網。
一些采用了隔離網的廠商認為只要我的網絡不與互聯網連接就能避免一切攻擊。但現實總會殘忍打臉,永恒之藍就是在隔離網內的病毒爆發形式,臺積電的內部生產線也是一種隔離網絡出現的一種病毒被攻擊、被傳染。
2、隔離網內部網絡安全整個架構、措施相對松懈,技術管理不到位,存在眾多工控安全隱患。在使用過程中為了方便可能會使用不安全的移動介質比如隨意插拔U盤,或者運營過程中請外部工程師做應用升級。
3、作為工業企業的臺積電,工控系統的操作系統版本很多還停留在Windows XP,要知道XP版本在“永恒之藍”事件之前已經被微軟打入冷宮,停止補丁了。工控操作系統并不會像個人電腦定期升級,首先因為隔離網的存在不能連接網絡升級,另一方面,因為害怕誤殺一些應用,整個系統會是“裸奔”狀態,根本沒有殺毒軟件。
其實臺積電一直以來都有各種安全措施,但仍會出現這樣的問題,說明做好靜態的網絡安全防御是不夠的,需要進行新的思路和方法持續做安全。在這次事件之后,臺積電應該會加強安全防御措施。
李航:有幾個方面的原因,首先是操作人員對安全事件認識不夠。作為現場人員應該對系統狀態做到了如指掌,包括某一兩條機器出現問題應該如何處理,以及機器大規模出現問題應該如何處理。
其實是技術能力問題,機器出現大規模問題時候應該做好感染區的隔離,保證不向外擴散,然后啟動緊急預案。
第三點,如果公司本身沒有安全團隊,需要臨時從外面調安全團隊,在溝通上會存在問題。因此像傳統網絡安全定期進行應急演練,是很有必要的。
李航:我的判斷是臺積電的生產數據備份非常好,在工業環境中主機已經固化功能情況下,一旦系統出現問題最直接的辦法就是停機,ghost恢復,又可以重新開始工作,在最早時間降低損失。
李航:工業環境中帶病運行是常態,這就像人體一樣,時刻接觸病毒,只不過人體免疫系統可以將這些病毒抵擋在外,一旦抵抗力下降,這些病毒就可能灌進身體。
工業環境亦是如此,最長的核電站可能運行了60年,它需要的是連續生產和可靠性運行,所以做不到不斷升級。多數工業企業只能忍受這些病毒,只要不影響生產就不輕易碰觸。
當然,在工業環境中及時升級或打補丁的機會是很難的,原因有幾點:
1、升級、打補丁可能會使本可以工作的系統不能工作。工業軟件不像商用軟件那么強壯,商用軟件因為用戶較多,出現問題會及時解決,整個軟件都在不斷迭代,但工業軟件只要能實現固定功能就算可用。在這種情況下打補丁或者進行病毒查殺,可能直接把工業環境中一些正常運行的東西殺掉,而使其不能工作。
2、其實在工業場景中升級系統非常小心。比如臺積電這樣的企業連續不斷地進行生產,停擺一天造成的損失很大,所以每次升級系統需要有計劃地安排時間暫停生產。否則對企業的經濟收入會造成影響。
3、另外,由于工業環境里445的端口為長期使用的業務端口,即使打了補丁也可能出現安全問題。
李航:通過臺積電事件,我覺得可以從幾個方面加強工控領域的安全保護。
首先,臺積電這次的事件主要是新機,而廠商實際應該對整個資產并入可能出現的情況有預案,如果沒有說明對資產再生性、對整個生產資產的掌握程度不夠。
其次,需要加強終端的保護能力,因為病毒畢竟是橫向傳播,最終形成攻擊控制電腦上。
還有一方面是要注重整個安全體系的健全。對企業來經常自查或評估可以有的放矢的發現自身問題,或者對網絡流量、信息流量的檢測手段也很必要。因為現在邁向大數據時代,數據也是一種能用的資產,所以資產實際上我們不僅僅只是一個物理,或是什么樣的,它其實還是有一個流通動態的東西,
只要做到這些,再加上一些管理措施就能達到一定的保護效果。
當然反過來說,不存在絕對的安全,只能說這些安全措施的采取能使我們處于更高級更主動的位置,就像現在臺積電雖然爆發安全問題,但同樣也有安全手段保護。
李航:不帶病運行實際上難度是很大的,其實工控系統面臨兩種狀態:
第一種我習慣管它叫“存量市場”,存量市場的概念是工控系統擺在那里持續運行,在此過程中我們可以進行定期的升級、改造,安全建設包括技術、包括管理、包括資產檢測等,這種都是可以做的,但工控系統先天的結構安全不足的特點,是無法改變的,安全基因如此,所做的更多的是安全的補充。
第二種是“增量市場”,比如我們國內目前推的智能制造戰略,一些廠商可能會新建整廠,這就需要在設計過程中,考慮到自己存在的安全問題,并且把整個安全措施和業務鏈結合起來,從設計開始,建立工控系統的安全體系。
想要在這兩種狀態中完全避免病毒是很難的,只能利用體系化的安全措施盡可能抑制病毒,并且通過技術和管理雙向把控剔除威脅來源。
所以帶病運行很難完全根除,所有工業環境中“白環境”都是加引號的,只能盡可能去完善安全環境,不可能完全隔絕,就像人不可能生活在真空中完全避免所有病菌。
建立所有工業企業的免疫系統還是很重要的,我對免疫系統的理解是利用在線監測、狀態預測分析、持續的系統保護等種種手段進行整體性的保護,而不僅僅只是把邊界做好,隔離網就完事了。其實這次臺積電事件就是扎好了邊界,但病毒總有別的途徑進入內網,爆發情況。
雷鋒網雷鋒網
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
