苏伊士运河的“堵船”已经解决,但在全球肆虐数月的芯片短缺仍未有任何缓解迹象。相反,它已经从汽车行业蔓延到智能手机乃至家电行业。就连高端抽油烟机等白色家电的生产也受到了影响。一方面,疫情导致半导体产能减少,同时带动远程办公相关数码产品需求激增。两大因素共同引发了席卷全球的“芯片荒”。毫不夸张地说,半导体和芯片供应链是当今数字世界的“苏伊士运河”,更为重要,也更为脆弱。然而,半导体产业供应链也是当今最孤立、最有价值的供应链之一。对于半导体无处不在的数字系统而言,半导体停产带来的影响不仅意味着天文数字的损失,而且很少有人注意到,全球半导体产业链的网络安全弹性比苏伊士运河差得多。2020年底,半导体巨头富士康(芯片制造)和研华(物联网、工业自动化芯片)先后遭遇勒索软件攻击,勒索金额分别高达3400万美元和1400万美元,但这只是冰山一角。当前的安全形势堪称“一地鸡毛”。BlueVoyant最新研究报告显示,全球半导体产业链中绝大多数企业都存在明显且严重的安全漏洞,很可能被黑客利用。该报告评估了半导体供应链(全球最具战略意义的供应链)中17家最著名和最具代表性的公司的安全态势。这些公司包括亚洲、欧洲和美国的公司,例如芯片和半导体软件设计公司、半导体设备制造商和集成设备制造商(IDM)。BlueVoyant表示,其数据来自“在30天内公开可用的专有数据集和工具”。报告显示,半导体行业的网络安全状况“不佳”,考虑到行业知识产权的价值,以及勒索软件攻击可能造成的巨大损失(即赎金),半导体行业无疑是一个巨大的诱惑黑客和勒索软件团伙。调查发现,接受调查的半导体公司中有88%存在严重和高严重性漏洞,这些漏洞可能会让攻击者轻松在其系统中立足并造成巨大损失。(2018年,勒索病毒WannaCry利用未修复漏洞入侵台积电,造成台积电停产一天,经济损失超过1.7亿美元。)值得注意的是,在接受调查的17家公司中,92%的入站恶意流量针对的是其中3家美国芯片设计公司,这意味着攻击者对台湾以外的芯片设计知识产权有着浓厚的兴趣。此外,88%的受访半导体企业曾被勒索相关恶意IP盯上,94%的受访半导体企业遭遇过暴力攻击。在某些情况下,报告可能来不及阻止违规行为:四分之三(76%)的研究芯片公司提供了已知恶意基础设施出站流量的证据。这表明相关组织可能已被入侵。比遭遇“密集锁定”更糟糕的是,半导体企业的网络安全防御普遍“大开”。几乎所有接受调查的半导体公司(94%)都开放了暴露的高风险端口(上图),其中四分之一(24%)的公司开放了RDP端口,这是勒索软件的主要攻击媒介之一。类似的暴露端口还包括认证端口(24%)和数据存储端口(18%)。使用这些暴露端口的服务特别容易受到攻击,使它们成为黑客的绝佳立足点。在过去几年中,针对半导体行业的网络攻击已经多次利用此类端口(尤其是RDP)。报告指出,组织可以通过主动扫描和修补漏洞、关闭暴露的高风险端口以及监控内部流量以寻找入侵迹象来防止此类攻击。“我们的数字经济取决于半导体的可用性,未来的任何数字转型也是如此,”报告警告说。“虽然大量半导体公司成为恶意软件和网络犯罪团伙的目标并不奇怪,但半导体行业普遍缺乏适当的安全防御措施绝对是一颗定时炸弹。”【本文为专栏作家《安全牛》的原创文章》,转载请通过安全牛获得授权(微信公众号id:gooann-sectv)】点此阅读更多作者好文
