揭秘：台積電「踩雷」內幕

iPhone晶元生產商台積電感染病毒，蘋果嚇壞了

三天虧了10多億！台積電中毒「想哭」連累蘋果發新品

台積電中毒，蘋果要哭

……

這幾天台積電的事情鬧得沸沸揚揚。

事件主人公全球最大的半導體代工製造商台積電踩了一腳雷，炸了自己不說還帶起一連串「蝴蝶效應」。

8月3日晚間，台灣中時電子報報道了台積電位於台灣新竹科學園區的12英寸晶圓廠和營運總部，遭遇勒索軟體攻擊且生產線全數停擺的消息。幾個小時之內，台積電位於台中科學園區的Fab 15廠，以及台南科學園區的Fab 14廠也陸續傳出同樣消息，台積電在台灣北、中、南三處重要生產基地，同步因為勒索軟體入侵而導致生產線停擺。

事情發生沒多久，台積電就對外宣稱公司已經控制此病毒感染範圍，同時找到解決方案，受影響生產設備正逐步恢復生產。

這個消息被台媒報道後乘著火箭四處擴散，看熱鬧不嫌事大的群眾腦洞是無限的，大家的關注點歪了，種種陰謀論也喧囂之上。

iPhone還會如期發售吧？供貨緊張嗎？（雖然我買不起）；

華為出來背鍋了；

三星出來吧；

小米快來；

台積電：呵呵

雖是這麼說，8月6日下午5點，台積電總裁魏哲家出來說話了，「沒內賊沒外鬼，純粹是內部操作失誤，損失了1.7億美元。」

魏哲家稱這次病毒是去年全球爆發的「WannaCry」的變種，在竹科廠房安裝新機台時帶入，進而蔓延至中科和南科廠房。

「台積電數萬的機台，這還是第一次發生這樣的事件。此前台積電防範病毒的策略時在安裝新機台時，先掃毒，再上線。而此次的失誤在於先上線了機台，才進行掃毒程序，於是就發生了事故。」

由於台積電的所有機台都是連線的，只要一台感染，就會傳染至全部機台。而越是先進(工藝)的廠就越自動化、越複雜，受影響程度也越大。這次受影響的主要是12英寸線和7nm工藝等先進位程。

據其表示，目前台積電所有機台都為Windows7系統，新機台也是Windows7，但並未「打補丁」，事故後將會對所有系統做更新。此次的WannaCry變種病毒與去年的WannaCry同樣傳播迅速，但所幸並不具備加密能力，所以對台積電造成的影響不算大。8月5日機台已全線恢復，在確保病毒沒有潛伏在其他地方之後，8月6日下午台積電全線復工。

從去年「5.12」勒索軟體爆發以來，工業企業已經成為勒索攻擊的重災區，羅馬尼亞汽車企業（Dacia）、日產汽車桑德蘭工廠、西班牙電廠和天然氣企業等，國內外已經有多個行業的眾多大型工業企業因為遭遇勒索軟體攻擊而停產。這些受害企業普遍遭遇的現象是工業生產網路的工業主機出現藍屏，反覆重啟，存儲生產資料的伺服器被加密或文件丟失，從而影響生產，甚至造成停產。

就著台積電這事，雷鋒網和360工業互聯網安全事業部副總經理李航聊了聊。

問：此次病毒是 WannaCry 的變種？

李航：台積電這次的事情與去年512的「永恆之藍」事件其實是有共性的，具體來說有幾個特點：

1、都為隔離網。

一些採用了隔離網的廠商認為只要我的網路不與互聯網連接就能避免一切攻擊。但現實總會殘忍打臉，永恆之藍就是在隔離網內的病毒爆發形式，台積電的內部生產線也是一種隔離網路出現的一種病毒被攻擊、被傳染。

2、隔離網內部網路安全整個架構、措施相對鬆懈，技術管理不到位，存在眾多工控安全隱患。在使用過程中為了方便可能會使用不安全的移動介質比如隨意插拔U盤，或者運營過程中請外部工程師做應用升級。

3、作為工業企業的台積電，工控系統的操作系統版本很多還停留在Windows  XP，要知道XP版本在「永恆之藍」事件之前已經被微軟打入冷宮，停止補丁了。工控操作系統並不會像個人電腦定期升級，首先因為隔離網的存在不能連接網路升級，另一方面，因為害怕誤殺一些應用，整個系統會是「裸奔」狀態，根本沒有殺毒軟體。

其實台積電一直以來都有各種安全措施，但仍會出現這樣的問題，說明做好靜態的網路安全防禦是不夠的，需要進行新的思路和方法持續做安全。在這次事件之後，台積電應該會加強安全防禦措施。

問：8月3號當天，一個廠出現停擺，幾小時之後另外兩個小區出現了同樣情況，在這幾小時台積電沒有有效抑制病毒蔓延，為什麼？

李航：有幾個方面的原因，首先是操作人員對安全事件認識不夠。作為現場人員應該對系統狀態做到了如指掌，包括某一兩條機器出現問題應該如何處理，以及機器大規模出現問題應該如何處理。

其實是技術能力問題，機器出現大規模問題時候應該做好感染區的隔離，保證不向外擴散，然後啟動緊急預案。

第三點，如果公司本身沒有安全團隊，需要臨時從外面調安全團隊，在溝通上會存在問題。因此像傳統網路安全定期進行應急演練，是很有必要的。

問：台積電為什麼可以很快恢復？

李航：我的判斷是台積電的生產數據備份非常好，在工業環境中主機已經固化功能情況下，一旦系統出現問題最直接的辦法就是停機，ghost恢復，又可以重新開始工作，在最早時間降低損失。

問：為什麼工業環境打補丁、更新困難？

李航：工業環境中帶病運行是常態，這就像人體一樣，時刻接觸病毒，只不過人體免疫系統可以將這些病毒抵擋在外，一旦抵抗力下降，這些病毒就可能灌進身體。

工業環境亦是如此，最長的核電站可能運行了60年，它需要的是連續生產和可靠性運行，所以做不到不斷升級。多數工業企業只能忍受這些病毒，只要不影響生產就不輕易碰觸。

當然，在工業環境中及時升級或打補丁的機會是很難的，原因有幾點：

1、升級、打補丁可能會使本可以工作的系統不能工作。工業軟體不像商用軟體那麼強壯，商用軟體因為用戶較多，出現問題會及時解決，整個軟體都在不斷迭代，但工業軟體只要能實現固定功能就算可用。在這種情況下打補丁或者進行病毒查殺，可能直接把工業環境中一些正常運行的東西殺掉，而使其不能工作。

2、其實在工業場景中升級系統非常小心。比如台積電這樣的企業連續不斷地進行生產，停擺一天造成的損失很大，所以每次升級系統需要有計劃地安排時間暫停生產。否則對企業的經濟收入會造成影響。

3、另外，由於工業環境里445的埠為長期使用的業務埠，即使打了補丁也可能出現安全問題。

問：工業企業之後應該採取什麼安全防禦機制？

李航：通過台積電事件，我覺得可以從幾個方面加強工控領域的安全保護。

首先，台積電這次的事件主要是新機，而廠商實際應該對整個資產併入可能出現的情況有預案，如果沒有說明對資產再生性、對整個生產資產的掌握程度不夠。

其次，需要加強終端的保護能力，因為病毒畢竟是橫向傳播，最終形成攻擊控制電腦上。

還有一方面是要注重整個安全體系的健全。對企業來經常自查或評估可以有的放矢的發現自身問題，或者對網路流量、信息流量的檢測手段也很必要。因為現在邁向大數據時代，數據也是一種能用的資產，所以資產實際上我們不僅僅只是一個物理，或是什麼樣的，它其實還是有一個流通動態的東西，

只要做到這些，再加上一些管理措施就能達到一定的保護效果。

當然反過來說，不存在絕對的安全，只能說這些安全措施的採取能使我們處於更高級更主動的位置，就像現在台積電雖然爆發安全問題，但同樣也有安全手段保護。

問：是否可以改變工業企業帶病運行的現狀？

李航：不帶病運行實際上難度是很大的，其實工控系統面臨兩種狀態：

第一種我習慣管它叫「存量市場」，存量市場的概念是工控系統擺在那裡持續運行，在此過程中我們可以進行定期的升級、改造，安全建設包括技術、包括管理、包括資產檢測等，這種都是可以做的，但工控系統先天的結構安全不足的特點，是無法改變的，安全基因如此，所做的更多的是安全的補充。

第二種是「增量市場」，比如我們國內目前推的智能製造戰略，一些廠商可能會新建整廠，這就需要在設計過程中，考慮到自己存在的安全問題，並且把整個安全措施和業務鏈結合起來，從設計開始，建立工控系統的安全體系。

想要在這兩種狀態中完全避免病毒是很難的，只能利用體系化的安全措施儘可能抑制病毒，並且通過技術和管理雙向把控剔除威脅來源。

所以帶病運行很難完全根除，所有工業環境中「白環境」都是加引號的，只能儘可能去完善安全環境，不可能完全隔絕，就像人不可能生活在真空中完全避免所有病菌。

建立所有工業企業的免疫系統還是很重要的，我對免疫系統的理解是利用在線監測、狀態預測分析、持續的系統保護等種種手段進行整體性的保護，而不僅僅只是把邊界做好，隔離網就完事了。其實這次台積電事件就是紮好了邊界，但病毒總有別的途徑進入內網，爆發情況。

雷鋒網雷鋒網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！