發生於上周五的台積電產線病毒攻擊事件,再次讓全臺民眾上了一堂資安震撼教育。大家很難想像如台積電這樣的業界模範生,竟然也會因為病毒攻擊而被迫生產線停擺。然而,這卻是目前資安的真實面貌,諸如航空界的波音公司、汽車界的雷諾、日產與本田、貨運界的Maersk、物流業的FedEx,他們都是業界的佼佼者,卻都在過去的一年遭受勒索軟體或蠕蟲的攻擊,而造成的損失動輒數億美元。

連大公司都抵擋不住,難道是這些大公司平日不重視資安嗎?國外的公司我不敢肯定,但台積電為了保護研發機密不惜鉅資開發公司專屬公用手機,可以想見其對資安的重視程度與資安的防護能量,絕對是超過一般企業的水準。我認為,比較可能的原因是結構性的問題。

其中一個結構性的轉變,在於勒索病毒已經進化為勒索蠕蟲。去年我們報導肆虐全球的想哭(WannaCry)勒索蠕蟲時,就特別強調WannaCry已經不再是勒索病毒,而是勒索蠕蟲,因為它採用美國國安局祕密研發的EternalBlue攻擊武器,專門透過Windows作業系統SMB服務所採用的445埠,掃描網路上已開啟445埠的Windows電腦,自動進行水平式攻擊。勒索蠕蟲由一臺電腦感染另一臺,災情如野火燎原般迅速擴散,非常慘烈。

EternalBlue可說是為資安威脅畫下了新的分水嶺。過去勒索病毒攻擊主要透過釣魚郵件,誘使受害者開啟偽裝成郵件附檔的惡意程式,而受害範圍往往僅限於執行惡意程式的該臺電腦。然而勒索蠕蟲卻可以搜尋有漏洞的電腦,自動進行攻擊。以WannaCry來說,資安專家預估只要數分鐘時間,就可以感染其他的電腦,威力強大。

在此次台積電病毒事件中,肇事原因指向安裝人員沒有執行病毒檢測就把機臺接上網路,以至於病毒擴散。但我猜想安裝人員應該不至於敢不檢測病毒,比較可能的是執行病毒檢測與接上網路這兩個步驟的先後順序,在過去互調進行不曾出問題,因為病毒沒有自動擴散能力,然而這次遇到了具有EternalBlue攻擊能力的勒索蠕蟲,在還沒把勒索蠕蟲先刪除前就接上網路,就如猛虎歸山,後果自然不堪設想。

另一個更重要的結構性問題,在於OT(Operational Technology)領域,也就是工廠生產製造系統的安全防護問題。許多工廠的製造系統早就已經IT化,機臺內載Windows XP等視窗作業系統比比皆是,但是這些作業系統不僅老舊,而且往往沒有安裝應有的漏洞修補檔,處於毫不設防的狀態。

為何OT領域如此勇敢,不理會定期安裝修補軟體的重要性呢?其實倒也不是,細究下去可發現IT與OT的思惟截然不同。在OT領域,最重要的守則是製造設備穩定運作,生產效率極大化,同時管理者要能夠即時控制製造流程。在這樣的前提之下,過去資安一直不是OT領域的考量,而且過往針對OT領域的資安威脅也不大,因而製造設備額外安裝資安防護軟體,對生產效率帶來的影響,遠大於系統被攻擊的潛在風險。

再者,IT領域的電腦、伺服器幾乎已經都是工業標準化產品,例如微軟釋出作業系統修補檔,IT人員可以自己就執行更新修補。但是在OT領域,製造設備的更新卻不是這麼一回事,即便機臺內載的作業系統廠商已經釋出修補檔,但負責OT的人員可無法自行安裝,而必須由機臺廠商來執行安裝與更新,因為OT設備有許多非通用的元件,而其驅動程式就只有原廠能夠提供。在這樣的情況下,即使台積電有專業的IT人員與OT人員,也是愛莫能助,只能依靠機臺廠商。

此次台積電病毒事件,除了突顯OT領域的結構性問題,也彰顯緊急應變能力的重要性。在資安威脅的結構性改變之下,任何公司皆無法保證自己不會被駭,因此,除了預防被駭,更必須擁有緊急應變能力。台積電能夠在3天內就恢復全線生產,此一應變能力值得大家學習。

 更多台積資安事件相關報導 

【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末(上)

【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末(下)

台積電為何遲遲不修補機臺Windows漏洞?不是不願意,其實是無能為力

作者簡介


Advertisement

更多 iThome相關內容