厦门ag8亚游集团信息科技有限公司欢迎您!

预警 | 台积电病毒感染安全通告

8月3日晚间,台积电位于台湾新竹科学园区的12英寸晶圆厂和营运总部,遭病毒攻击且生产线全数停摆的消息。几个小时之内,台积电位于台中科学园区的Fab 15厂,以及台南科学园区的Fab 14厂也陆续传出同样消息,这代表台积电在台湾北、中、南三处重要生产基地,同步因为勒索软件入侵而导致生产线停摆。随后台积电方面宣称已经控制此病毒感染范围,同时找到解决方案,至5日下午两点为止,约80%受影响的生产设备已经恢复正常。

 

8月6日下午5点,台积电召开记者会,宣布全部所有受影响生产设备都已经恢复正常。台积电公司预估此次病毒感染事件将导致芯片出货延迟以及成本增加,对台积电公司第三季的营收影响约为百分之二(外界预估约50亿台币),毛利率的影响约为一个百分点。台积电总裁魏哲家在记者会上表示,此次事件为新机台安装过程中发生操作失误,并非是黑客入侵或内鬼所为,新机台进入产区前已经感染病毒,并不是用USB升级导致。由于网络准入策略不严格,不符合安全要求的新机器可接入网络,新机台在安装过程中没有先隔离和没有确认无病毒,各厂区生产网络也没有隔离。导致新机台里面的病毒在联网后快速传播,所有的生产线都受到影响(大陆南京厂区有防火墙隔离,台湾地区以外的厂区没有受到影响)。感染病毒是WannaCry的一个变种,造成感染后的机台宕机或是重复开机但并未受到勒索。

 

此次感染范围包括机台、自动搬运系统、相关的电脑系统。这些系统主要使用Windows7,却没有安装“修正软体”到“机台自动化界面”,也没有安装安全防护软件。导致受影响的机台无法自动运作,部分受影响的自动搬运系统无法正常运作。台积电目前已采取措施弥补此安全问题,全速安装“修正软体”,并将进一步加强安全措施。

 

事件分析

 

针对本次台积电病毒感染事件,我们可以看出:

 

1.台积电在全球的工业园区是广泛互联的,在台北、台中、台南的三个工厂互联程度最高,这是台积电业务的需求和优势,但没有按照企业的最高防护等级进行。

 

2.台积电在全球的其他工厂没有受到这次病毒影响,是因为这些工厂与台湾的总部及台湾工厂设置到网络防护设备,并且防护等级高于台湾工厂。

 

3.台积电大量机台及人际界面(HMI)广泛使用Window7设备,因为设备的复杂度,没有安装最新补丁,也没有安装防毒软件,留下隐患。

 

4.台积电的工业网络规模非常庞大,联网设备在数万台,其对接入网络的设备都有严格标准人工作业程序,先进行隔离杀毒,然后接入网络;但这一次百密一疏,因为人的疏忽,没有杀毒的带毒机台直接接入到工业网络中,导致病毒侵入。

 

5.这次病毒是勒索病毒WannaCry的变种,利用Windows7的漏洞和台积电先进的工业网络,迅速感染后所有机台,导致蓝屏重启,引起生产停摆。

 

6.台积电对U盘等移动介质有非常严苛的管控措施,这次病毒不是通过移动介质传入。

 

7.完全依赖人的安全措施,不可能永远不犯错,需要建立人和自动化工具结合的安全措施。

 

8.台积电的工业网络安全管理水平高,有专门的工业网络安全管理组织和团队,对工业资产管理清晰准确,建立有良好的网络监测手段,并制定了应急预案,才能在本次事件应对中,面对三个园区数万台的机器,在3天之内迅速应对并把损失控制到最小。

 

风险等级

 

360安全监测与响应中心风险评级为:高危

预警等级:蓝色预警(一般网络安全预警)

 

工控企业网络安全管理问题

 

根据我国大陆地区工业企业普遍现状,结合工控领域的网络安全防御弱点,360企业安全集团梳理了大陆地区工控企业网络安全管理上常见的问题:

 

1、工控资产梳理不清:随着工业企业的高速成长扩张、工业互联网的快速发展,IT网络(办公网络)和OT网络(工业网络)的边界进一步模糊,IT运维人员很难摸清IT设备和OT设备的底数,造成发生安全事件时无法及时定位并处置。

 

2、网络混杂管理不严:很多工业企业办公网络、生产网络直接互联,没有边界防护措施;部分做的较好的工业企业将生产网与办公网进行了区隔、部署了网关,但是由于存在双网卡主机、远程维修维护通道、文件摆渡需求等,仍然存在病毒木马的传播渠道,而工业网络往往没有任何监测防护手段,极易发生安全事件且难以有效处置。

 

3、工控终端系统较为老旧:工控计算机所使用的系统多为Windows或Linux早期的版本,系统几乎不安装补丁和主机防护软件,很多工控终端中存在漏洞甚至病毒。

 

4、虚拟化终端难以统一管理:有很多工业生产厂商在管理信息网、监控网中应用了虚拟化终端的技术,甚至在生产控制网中也是用了虚拟化技术,这就带来了虚拟化终端难以统一管理的问题,同时,虚拟化技术自身的安全风险也威胁着工业控制网络。

 

5、企业很少有全局的网络安全策略:没有设立网络安全管理部门和专业团队,未制定相关应急预案和应急流程,没有与第三方安全企业或应急资源建立联系。

 

针对以上问题企业遭受台积电类似安全事件,将造成重大损失和影响。一旦工控网络中遭受类似攻击,建议立即联系360企业安全集团,通过提供应急响应服务来定位并隔离威胁来源、缓解网络威胁、协助企业尽快恢复生产。

 

主要的服务通过如下6个步骤提升安全防护等级:

 

1、资产发现及梳理:对工控网络中的IT资产和OT资产进行发现、识别和梳理,定位资产类型、数量、位置等信息,摸清互联关系、网络拓扑和数据流向。

 

2、通过流量分析确定感染面:根据工控网络拓扑,在关键或核心交换节点上,部署采用最新威胁情报驱动的非侵入式被动流量监测手段,掌握工业网络运行现状、进行实时流量检测,发现威胁进行实时告警并生成攻击事件。对于DNS管理相对集中的企业,还可以对DNS的流量进行更精准的监测分析。通过对流量以及DNS流量的分析,确认威胁事件的感染面。

 

3、隔离感染面,防止威胁扩散:对于通过技术手段确认威胁的感染面,尽快采取应急的隔离手段。根据工业网络的业务特点,对网络进行分区分域,在区域之间部署具有工业协议解析能力和入侵监测能力的网关设备,针对特殊的工控通信协议进行解析,识别并防御其中的安全事件,布置相关防御策略,保障网络安全。对工业网络上的工业主机升级可用补丁,部署基于白名单的工业主机防护软件,保障端点安全。针对工业网络中应用的虚拟化主机进行统一管理,部署针对虚拟化技术特殊风险的虚拟主机防护软件。

 

4、采取应急措施尽快恢复业务:在确定了威胁的感染面或威胁终端后,要采取应急措施尽快保证业务的恢复。可以在工控机上部署安全产品进行威胁的处置,对于无法部署安全产品的终端,可以通过恢复备份的方式尽快恢复业务。

 

5、通过网络监测设备进行存量病毒和漏洞处置:一般情况下可以通过流量分析和漏洞扫描对工控网络中的存量病毒和漏洞进行发现,进而通过安装工控主机安全防护系统等手段进行病毒和漏洞问题的处理。对于一些运行着重要业务的工控机,应尽量避免漏洞扫描可能引发的业务中断的风险,可以通过威胁评估系统对工控主机进行全面的安全评估。

 

6、建立或完善安全组织机构,实现安全运营:在一把手授权下,建立主管工业网络安全的组织机构、权责范围、配合安全服务建立事前检测,事中响应,事后分析的安全运营体系。通过对单次威胁事件的溯源分析设计整改方案和检查标准,进一步推进整改方案和检查标准的落地并不断完善、持续监测,形成安全运营的闭环。

 

相关产品推荐

在线客服 :

服务热线:0592-2611670

电子邮箱: 123@herselfswebtools.com

公司地址:厦门市湖里区湖里大道28号联盛大厦411室

厦门ag8亚游集团信息科技有限公司成立于2011年2月12日,注册资本1008万,公司致力于为企事业、政府单位、军队的IT信息化发展提供解决方案,通过技术整合、创新...

Copyright © 厦门ag8亚游集团信息科技有限公司 版权所有