揭秘：台积电“踩雷”内幕

iPhone芯片生产商台积电感染病毒，苹果吓坏了

三天亏了10多亿！台积电中毒“想哭”连累苹果发新品

台积电中毒，苹果要哭

……

这几天台积电的事情闹得沸沸扬扬。

事件主人公全球最大的半导体代工制造商台积电踩了一脚雷，炸了自己不说还带起一连串“蝴蝶效应”。

8月3日晚间，台湾中时电子报报道了台积电位于台湾新竹科学园区的12英寸晶圆厂和营运总部，遭遇勒索软件攻击且生产线全数停摆的消息。几个小时之内，台积电位于台中科学园区的Fab15厂，以及台南科学园区的Fab 14厂也陆续传出同样消息，台积电在台湾北、中、南三处重要生产基地，同步因为勒索软件入侵而导致生产线停摆。

事情发生没多久，台积电就对外宣称公司已经控制此病毒感染范围，同时找到解决方案，受影响生产设备正逐步恢复生产。

这个消息被台媒报道后乘着火箭四处扩散，看热闹不嫌事大的群众脑洞是无限的，大家的关注点歪了，种种阴谋论也喧嚣之上。

iPhone还会如期发售吧？供货紧张吗？（虽然我买不起）；

华为出来背锅了；

三星出来吧；

小米快来；

台积电：呵呵

虽是这么说，8月6日下午5点，台积电总裁魏哲家出来说话了，“没内贼没外鬼，纯粹是内部操作失误，损失了1.7亿美元。”

魏哲家称这次病毒是去年全球爆发的“WannaCry”的变种，在竹科厂房安装新机台时带入，进而蔓延至中科和南科厂房。

“台积电数万的机台，这还是第一次发生这样的事件。此前台积电防范病毒的策略时在安装新机台时，先扫毒，再上线。而此次的失误在于先上线了机台，才进行扫毒程序，于是就发生了事故。”

由于台积电的所有机台都是连线的，只要一台感染，就会传染至全部机台。而越是先进(工艺)的厂就越自动化、越复杂，受影响程度也越大。这次受影响的主要是12英寸线和7nm工艺等先进制程。

据其表示，目前台积电所有机台都为Windows7系统，新机台也是Windows7，但并未“打补丁”，事故后将会对所有系统做更新。此次的WannaCry变种病毒与去年的WannaCry同样传播迅速，但所幸并不具备加密能力，所以对台积电造成的影响不算大。8月5日机台已全线恢复，在确保病毒没有潜伏在其他地方之后，8月6日下午台积电全线复工。

从去年“5.12”勒索软件爆发以来，工业企业已经成为勒索攻击的重灾区，罗马尼亚汽车企业（Dacia）、日产汽车桑德兰工厂、西班牙电厂和天然气企业等，国内外已经有多个行业的众多大型工业企业因为遭遇勒索软件攻击而停产。这些受害企业普遍遭遇的现象是工业生产网络的工业主机出现蓝屏，反复重启，存储生产资料的服务器被加密或文件丢失，从而影响生产，甚至造成停产。

就着台积电这事，和360工业互联网安全事业部副总经理李航聊了聊。

问：此次病毒是 WannaCry 的变种？

李航：台积电这次的事情与去年512的“永恒之蓝”事件其实是有共性的，具体来说有几个特点：

1、都为隔离网。

一些采用了隔离网的厂商认为只要我的网络不与互联网连接就能避免一切攻击。但现实总会残忍打脸，永恒之蓝就是在隔离网内的病毒爆发形式，台积电的内部生产线也是一种隔离网络出现的一种病毒被攻击、被传染。

2、隔离网内部网络安全整个架构、措施相对松懈，技术管理不到位，存在众多工控安全隐患。在使用过程中为了方便可能会使用不安全的移动介质比如随意插拔U盘，或者运营过程中请外部工程师做应用升级。

3、作为工业企业的台积电，工控系统的操作系统版本很多还停留在WindowsXP，要知道XP版本在“永恒之蓝”事件之前已经被微软打入冷宫，停止补丁了。工控操作系统并不会像个人电脑定期升级，首先因为隔离网的存在不能连接网络升级，另一方面，因为害怕误杀一些应用，整个系统会是“裸奔”状态，根本没有杀毒软件。

其实台积电一直以来都有各种安全措施，但仍会出现这样的问题，说明做好静态的网络安全防御是不够的，需要进行新的思路和方法持续做安全。在这次事件之后，台积电应该会加强安全防御措施。

李航：有几个方面的原因，首先是操作人员对安全事件认识不够。作为现场人员应该对系统状态做到了如指掌，包括某一两条机器出现问题应该如何处理，以及机器大规模出现问题应该如何处理。

其实是技术能力问题，机器出现大规模问题时候应该做好感染区的隔离，保证不向外扩散，然后启动紧急预案。

第三点，如果公司本身没有安全团队，需要临时从外面调安全团队，在沟通上会存在问题。因此像传统网络安全定期进行应急演练，是很有必要的。

问：台积电为什么可以很快恢复？

李航：我的判断是台积电的生产数据备份非常好，在工业环境中主机已经固化功能情况下，一旦系统出现问题最直接的办法就是停机，ghost恢复，又可以重新开始工作，在最早时间降低损失。

问：为什么工业环境打补丁、更新困难？

李航：工业环境中带病运行是常态，这就像人体一样，时刻接触病毒，只不过人体免疫系统可以将这些病毒抵挡在外，一旦抵抗力下降，这些病毒就可能灌进身体。

工业环境亦是如此，最长的核电站可能运行了60年，它需要的是连续生产和可靠性运行，所以做不到不断升级。多数工业企业只能忍受这些病毒，只要不影响生产就不轻易碰触。

当然，在工业环境中及时升级或打补丁的机会是很难的，原因有几点：

1、升级、打补丁可能会使本可以工作的系统不能工作。工业软件不像商用软件那么强壮，商用软件因为用户较多，出现问题会及时解决，整个软件都在不断迭代，但工业软件只要能实现固定功能就算可用。在这种情况下打补丁或者进行病毒查杀，可能直接把工业环境中一些正常运行的东西杀掉，而使其不能工作。

2、其实在工业场景中升级系统非常小心。比如台积电这样的企业连续不断地进行生产，停摆一天造成的损失很大，所以每次升级系统需要有计划地安排时间暂停生产。否则对企业的经济收入会造成影响。

3、另外，由于工业环境里445的端口为长期使用的业务端口，即使打了补丁也可能出现安全问题。

问：工业企业之后应该采取什么安全防御机制？

李航：通过台积电事件，我觉得可以从几个方面加强工控领域的安全保护。

首先，台积电这次的事件主要是新机，而厂商实际应该对整个资产并入可能出现的情况有预案，如果没有说明对资产再生性、对整个生产资产的掌握程度不够。

其次，需要加强终端的保护能力，因为病毒毕竟是横向传播，最终形成攻击控制电脑上。

还有一方面是要注重整个安全体系的健全。对企业来经常自查或评估可以有的放矢的发现自身问题，或者对网络流量、信息流量的检测手段也很必要。因为现在迈向大数据时代，数据也是一种能用的资产，所以资产实际上我们不仅仅只是一个物理，或是什么样的，它其实还是有一个流通动态的东西，

只要做到这些，再加上一些管理措施就能达到一定的保护效果。

当然反过来说，不存在绝对的安全，只能说这些安全措施的采取能使我们处于更高级更主动的位置，就像现在台积电虽然爆发安全问题，但同样也有安全手段保护。

问：是否可以改变工业企业带病运行的现状？

李航：不带病运行实际上难度是很大的，其实工控系统面临两种状态：

第一种我习惯管它叫“存量市场”，存量市场的概念是工控系统摆在那里持续运行，在此过程中我们可以进行定期的升级、改造，安全建设包括技术、包括管理、包括资产检测等，这种都是可以做的，但工控系统先天的结构安全不足的特点，是无法改变的，安全基因如此，所做的更多的是安全的补充。

第二种是“增量市场”，比如我们国内目前推的智能制造战略，一些厂商可能会新建整厂，这就需要在设计过程中，考虑到自己存在的安全问题，并且把整个安全措施和业务链结合起来，从设计开始，建立工控系统的安全体系。

想要在这两种状态中完全避免病毒是很难的，只能利用体系化的安全措施尽可能抑制病毒，并且通过技术和管理双向把控剔除威胁来源。

所以带病运行很难完全根除，所有工业环境中“白环境”都是加引号的，只能尽可能去完善安全环境，不可能完全隔绝，就像人不可能生活在真空中完全避免所有病菌。

建立所有工业企业的免疫系统还是很重要的，我对免疫系统的理解是利用在线监测、状态预测分析、持续的系统保护等种种手段进行整体性的保护，而不仅仅只是把边界做好，隔离网就完事了。其实这次台积电事件就是扎好了边界，但病毒总有别的途径进入内网，爆发情况。