cnBeta.COM_中文业界资讯站

网藤科技:台积电事件回顾,从工控安全中的恶意代码防范说开去

2018-08-08 来源: 搜狐财经 作者:lisa 次阅读

【事件突发】
  全球最大的半导体代工制造商台湾积体电路制造股份有限公司(TSMC,以下简称“台积电”)在8月3日傍晚遭遇电脑病毒感染,随后扩散至新竹、台中和台南3个厂区,造成生产线停摆。当晚台湾地区PTT论坛消息,据台积电工厂现场友人反馈,称生产系统出现大“宕机”,连门禁系统都挂了。


 
 
  【经济损失】
  台积电5日发布声明称,此次病毒感染事件将导致晶圆出货延迟以及成本增加,对公司第三季的营收影响约为百分之三,毛利率的影响约为一个百分点。
  据每日经济新闻,6日早盘,台积电跳空低开245元新台币。受此拖累,台湾地区加权股指低开10997.26点,下跌15.17点。台积电在纽交所发行的ADR,在上周五盘后交易中也下跌了0.17美元。照中位值85亿美元计算,本次网络事件对台积电营收的影响约为2.55亿美元,约合人民币17.4亿元。

 
 
  【安全体系】
  半导体大厂一直处于黑白网络安全对抗前沿,为了窃取关键技术和机密,黑客有时一天能发动高达数千次的攻击。台积电资讯技术资深副总兼资讯长左大川曾表示,企业防黑客体系不仅仅考虑了黑客入侵公司之前的各项防范,而且需要考虑进入公司后的。台积电的防黑客体系是采取多层防护(Defense in Depth),除了透过各项软体挡住恶意攻击程式或钓鱼信件外,万一防护有漏洞,黑客进入公司内部,也会让他们只能在某个区域,并且无法做任何动作,技术手段能保证只要这些黑客一有动作,就很快能被抓到,避免严重后果。
  台积电首席财务官何丽梅表示,“台积电之前也曾遭到过病毒攻击,但病毒攻击影响生产线还是首次。”台积电的办公网络和产线控制网络是隔离的,而且产线控制网络也不与互联网直接连接的,是完全封闭式的。台湾媒体也指出,此次台积电遭病毒攻击实属罕见,事实上,台积电高度重视信息安全和信息秘密保护,连上厕所都要刷识别卡,这次意外遭病毒攻击,也让外界相当意外。
 
 
 
  【攻击途径】
  台积电表示,此次病毒感染的原因为新机台在“安装软体的过程中操作失误”,因此病毒在新机台连接到公司内部电脑网路时发生病毒扩散的情况。
  台积电总裁魏哲家表示,病毒为去年全球爆发的“WannaCry”的变种,在竹科厂房安装新机台时带入,进而蔓延至中科和南科厂房。工作失误在于先上线了机台,才进行扫毒程序,于是就发生了事故。魏哲家一再强调这次是由于新机台上线前未进行隔离所致,由于台积电的所有机台都是连线的,只要一台感染,就会传染至全部机台。

 
 
  【定向攻击】
  台积电事件存在诸多巧合,有理由相信此次事件是有组织有目标的定向网络攻击。从攻击效果看,策划者熟悉厂区生产系统,利用病毒蛙跳攻击有效的突破了安全防御体系。
  n 目标选择:台积电最重要的三大生产基地。台积电的先进制程、大客户的主要产品生产也都在这三大生产基地。
  n 时间选择:目前8月份是台积电先进的7nm制程开始放量的时刻。台积电的产能损失情况下,持续时间严重话会导致苹果和华为新一代旗舰产品拖迟发布。且同一时间段台积电三大生产基地几乎同时遭病毒感染,出现机台当机,非常的不正常。
  n 专业选择:据台湾工研院前主任杜紫宸质称,半导体机台上所用的软体,应是专属作业系统,一般电脑系统上的病毒,应无法直接“感染”晶圆生产系统。也就是说该病毒实际上是有针对性的。
 
  【专家点评】
  事件爆发在8月3日傍晚。8月4日早间,台积电受影响工厂部分设备也已开始进行软体重装的动作,至台湾时间下午两点为止,约80%的受影响的机台已经恢复正常,预计在一天内将全数恢复正常。大面积的恶性停机事件能在一天内恢复,从中不难看出台积电在安全应急措施方面处置及时到位。
  就此次台积电事件,记者远程连线了北京网藤科技有限公司副总裁兼研发负责人李佐民先生。李佐民认为,随着工业互联网进程的推进,病毒木马、勒索软件为代表的恶意软件引发工业企业的网络安全问题会逐步增多,台积电事件不是孤案,应该给予足够的重视。在企业运营过程中,生产连续性是第一要务,需要保证生产过程顺利执行,这就给安全处置技术带来了很大难度。固定安装、不易移动、长期部署的恶意代码防御手段不适用于建设期移动、忙乱的施工环境,需要一类便携、方便接入使用的恶意代码防御技术。
  李佐民表示,生产线上的主机,出于系统稳定性的要求,加之企业过于信赖“网络隔离”的防护作用,一般不会在主机上加装杀毒软件,但出于安全的考虑,又非常有必要对新装软件或者移动存储设备进行有效的管控以及病毒查杀。