话说见过大世面的人心态就是好~
8月6日,台积电副总裁魏哲家面对记者的镜头,没有慌得一匹。
他全程半微笑,让人丝毫联想不到他所在的公司损失了 78 亿新台币(折合17亿人民币),刚从生产线停摆中恢复过来。
(台积电副总裁魏哲家)
3天前,台积电位于台湾新竹科学园的的12寸晶圆厂生产线忽然暂停,原因不明。工人们都懵了,要知道,以往生产线只在地震这样的特殊情况下出现过。
随后,台积电在台湾地区的所有厂区像是点燃了的鞭炮,台中厂区,台南厂商,不到一小时,所有生产线全部停摆。有消息传出,生产线停运系电脑病毒导致。
台积电的生产线支撑着英特尔、高通、华为、苹果等品牌的芯片代工生产,而现在又是出货旺季,停运意味着损失巨大。
同时,台积电今年刚拿下苹果公司的唯一芯片代工权,若不能及时恢复生产,很可能造成一苹果新机的延迟发布,继而影响之后的合作……
事发当天,有业内人士预估,此次病毒事件给台积电造成的直接经济损失超过十亿人民币。
受该事件影响,当天台积电的股票也出现一定幅度波动。
……
……
……
然鹅!
谁能想到,又过了一天,台积电就宣布生产线80%已恢复,毛利率损失控制在1%,原因已经查明,系去年爆发的勒索病毒“WannaCry”的变种,问题不大,只是人工操作失误导致,不存在黑客攻击。
(脑补台词:大家就当无事发生啦~)
事情虽已过去,可吃瓜群众心中的几个疑惑还没解决:
这次事件在业界属于啥水平?小意思、中等意思还是大意思?
永恒之蓝这都爆发一年了,连我的破电脑都不怕了,为啥台积电这么个高科技企业能出事?
工业隔离网不是没连接互联网么?怎么还会中病毒?是企业内鬼,黑客蓄意攻击,还是偶然中招?
假设(纯属假设)竞争对手某星派黑客闹出这么一次事件,需要多高的黑客水平?
……
……
带着这些疑问,我找到一个叫李航的朋友。
此人十分擅长工控安全研究,若问有多擅长,不妨先看看他的 title 有多长。
他现在的 title 是 360企业安全集团工业互联网安全事业部副总经理。入职360之前,他的 title 是工业控制系统信息安全技术国家工程实验室工控安全检测中心主任。
。。。
。。。
。。。
Let's Rock !
谢幺:这次是黑客蓄意攻击还是莫名中枪?
李航:台积电对外声称是人为工作失误,否认了外界对于黑客攻击和内鬼的猜测。目前没有其他信息能否定这一说法,我倾向于相信。
谢幺:工业网络一般跟互联网隔离的,为什么台积电还会中招?
李航:工业生产网络的确和互联网隔离,但是工厂为了扩充生产力,经常会加入一些新的机器设备。
这次台积电中招,据官方公布的消息就是因为一台新机台(加工产品的机器)未经过杀毒就直接连入生产网络,结果该机台恰好带有 WannaCry 勒索病毒的变异版本,一旦进入生产网络,该病毒会迅速在内网中横向传播,导致全线故障。
(机台:我们中出了一个叛徒……)
李航:很多工控单位以为只要物理隔离就能确保万无一失,所以隔离网内部的信息安全管控就很松懈,员工一般怎么方便怎么来操作。
但其实,突破物理隔离的方法有很多。
比如“震网病毒”事件中,伊朗核电站也是完全物理隔绝,但美国的黑客组织先黑进核电站一名员工家里的电脑,继而让病毒进入他的U盘,而这名员工恰好也违规操作,将自己的U盘插在核电站内部的机器上,最终病毒几经周折终于进入核电站内网,破坏了核电站离心机。
再比如,有的员工违规将自己的手机插在公司设备的U口上充电,也可能导致原本隔离的网络一下子连接到互联网。
类似的情况还有很多很多,所以即便做了物理隔离也不能默认内部就是百分之百安全,依然要做相应的安全措施。
谢幺:出了这事以后,有人说台积电的信息安全水平不行,你怎么看?
李航:其实据我所知,台积电的信息安全水准还是不错的。
首先,台积电之前的副总裁左大川是资深安全专家,今年三月刚卸任,我相信台积电在安全体系上建设很有经验。
其次,台积电这次的损失虽然不小,但他们恢复生产的很迅速,据说第二天就恢复了80%,并且排查出具体原因,这响应速度在业界相当不错,说明他们在实时灾备方面做得很好,出了问题可以很快将机器还原成到可生产的状态。
横向对比,去年wannacry勒索病毒席卷全球时,汽车厂商雷诺的生产线同样遭遇停产,花了大半个月才恢复。
不过无论如何,这次台积电中招停产损失巨大,肯定还是因为安全体系建设过程中存在重大疏漏。
主要体现在两点:一是对生产资产的掌握程度不够,新增了一台机台,没有杀毒就直接投产;二是终端主机的防护不足。
谢幺:为什么“永恒之蓝”漏洞和“WannaCry” 爆出那么久,连我的破电脑都不怕了,台积电的生产线还扛不住?
李航:因为工控安全太特殊也太复杂了,跟个人PC电脑完全不是一回事。
比如最近有人吐槽台积电的生产线没有关闭445端口,导致病毒在内网迅速传播。
对于个人电脑,如果没连接打印机等设备时可以关闭该端口。但在工控环境下,445端口是常用的生产端口,所以通常需要开放。
如果单从终端安全角度来看,很多工控系统的安全性确实比不上你的“破电脑”。
首先,你的电脑长期暴露在一个充满木马病毒的环境里,电脑系统经常打补丁升级,安全软件也会经常更新病毒特征库,就类似人体的免疫系统一样不断产生“抗体”。
但工厂里的工业控制系统因为处在一个封闭的网络环境和稳定的状态,常年不更新,也不装杀毒软件。到现在很多工控系统都是用着Windows XP 甚至更老旧的系统。
谢幺:恭喜,你的破电脑安全性成功击败 99.9999%的大型工厂……
李航:……
谢幺:为什么工控系统不升级?不装杀毒软件?
李航:怕影响设备的可用性。
这次台积电的发布会上就有人问,既然这次出问题的都是 Window 系统,为何不将几万台用 Windows 系统的设备统统升级,以绝后患?
台积电的副总裁魏哲家的回答是:台积电自己并没有能力升级 Windows,因为机器里包括很多复杂的客户软件,如果要升级系统,需要协同客户一起升级,否则可能会造成设备不可用。
那么问题来了,台积电这样的高新技术公司都没能力升级,那这种情况必然是业界常态了。
工控系统太复杂,一个大型的工控设备,从设计研发到生产可能需要一两年,工程化又需要几年,其中很可能还涉及到多个不同厂商的软硬件,如果升级系统打的补丁跟其中某个部件不兼容,很可能影响设备的可用性,比如升了级之后忽然用不了了。
而且很多大型设备一运行就是很多年,暂停重启一次就是不小的损失,这种情况下不具备经常更新的条件。不装杀毒软件,主要也是怕误杀正常的生产进程。
谢幺:想想也是,钢铁厂里几千度高温的铁水正在沸腾,工头忽然说等等!停一下,诶 我来装个补丁重启一下,顺带杀个毒,然后铁水一下子就冷却凝固了,换谁谁也受不了。
李航:…… ……
(图源:全景网)
李航:嗯,所以对工控设备来说,物理隔离很重要,但同时又不能过于依赖,一个纵深的安全体系很重要。
谢幺:这次台积电的事,在工业界属于常规动作还是特殊操作?
李航:在工控安全领域,设备“带病运行”其实是常态。
打个比方,人类生活在一个充满病毒、细菌的环境中,我们人体每时每刻都在被病毒、细菌影响,但是平日里相安无事,只有当你感到浑身乏力腰膝酸软感冒流涕,感到身体被掏空的时候,你才意识到生病了。
工控设备也是这样,很多设备其实感染着各种病毒木马什么的,只不过它们并不一定会对机器的正常运转产生任何影响,因为病毒很可能是针对 PC 的,不小心就感染到工控设备。这种情况下,人们通常选择不处理。
总体来讲,工控领域是缺少安全基因的。
今年上半年我就写过一篇文章,里头有7个关于工控安全的预测,其中一个就是:未来一段时间内,工控安全事件存在大量爆发的可能性。
这些年工控安全领域的研究不断高涨和持续,工具技术都在升级(比如Shodan搜索引擎了解一下?),一些工控系统在未完全建立安全体系的情况下就跟外界互联互通(故意或不经意间),这都让网络安全威胁进一步加大。
这次事件,可谓“意料之外”,也是“情理之中”。
谢幺:假设这次是某竞争对手派出的黑客 APT 组织蓄意造成的破坏,对方需要多高的黑客水平?
李航:台积电否认了黑客入侵和内鬼。如果单纯从技术角度来做假设,并不是很难。
谢幺:我听说过一种“供应链投毒”的黑客攻击手法,就是黑客摸清了供应链关系,提前在上游投毒,这次的情况存在这种可能性吗?
李航:目前没有证据表明台积电这次病毒事件是蓄意投毒,但单纯从技术角度来说,理论上也存在这种可能性。
比如黑客知道台积电要新增一台机台,提前在这台机器里植入木马病毒,然后坐等他们把机器并入生产线。
谢幺:存在内鬼的可能性吗?
李航:也没有证据表明有内鬼。(有也不会对外说啊),但在工控安全领域在实际操作中,都是防内胜于放外,内部威胁更普遍。
谢幺:后续台积电可能会怎么做?
李航:恢复生产后肯定会溯源,顺着感染病毒机器的供应链往上追溯,找到新机台染毒的原因,以及造成人为疏忽,没杀毒就并入生产线的原因。
另外,据说他们开始引入自动化检测的流程,杜绝人为失误造成的问题。
----米小粒的分割线----
台积电的年报里有一段话很有意思:
尽管我们已建立一个全面的互联网和计算机安全网路,但无法保证控制或维护重要企业职能的计算系统完全不受任何第三方造成的严重网络攻击的影响,第三方有可能未经授权访问我们的内部网路系统,蓄意破坏我们的业务运营,商誉或其他方面。
万一发生严重的网络攻击,我们的系统有可能丢失重要的企业数据,我们的生产线可能在等待此类攻击解决的过程中,无限期关闭。虽然我们还力求每年审查和评估自己的网络安全政策和程序,以确保其充分性和有效性,但当时无法保证在网络安全威胁不断变化的形势下,我们不会收到新出现的风险和攻击的影响。
台积电面临的网络安全问题,其实是整个工业界面临的安全症结。
那句“台积电自己没有能力升级Windows 系统”里充满着无奈。明知道问题在哪,很多时候也限于各种条件难以解决。
不过话说回来,如今云计算、AI 、区块链等各项新技术都在跟工控领域大施拳脚,未来工控安全也必定面临前所未有的挑战。
问题摆在那,终究是要解决的,自己不解决,黑客迟早也会推着你解决。
我是米小粒
助你生根,伴你成长
閱讀更多 米小粒說 的文章
