看清勒索本质！威努特半导体芯片行业勒索治理实践

一

行业背景及安全现状

1.1

行业背景

电子信息时代，半导体芯片在经济发展中扮演愈发重要的角色，半导体芯片销售情况与全球经济发展密切相关。

根据IDC最新研究显示，随着全球人工智能(AI)、高效能运算(HPC)需求爆发式提升，加上智能手机、个人计算机、服务器、汽车等市场需求回稳，半导体芯片产业预期将迎来新一轮成长浪潮。

2023年，美国商务部再次发布9项制裁措施，规定芯片企业需要获得许可证才能对中国出售用在人工智能、超级电脑的先进芯片产品或技术服务，并要求美国半导体企业员工停止对中国芯片企业提供服务，制裁目的是阻止中国芯片技术发展。

因此“十四五”规划和2035年远景目标纲要提出，要打造数字经济新优势，聚焦高端芯片、操作系统、传感器等关键领域，牢牢掌握核心技术。面对严峻的限“芯”形势，完全实现芯片国产化替代尽管道阻且长，但国家信息安全不容拖延。国家政策持续发力，国产芯片企业也在奋力突围。目前国产芯片已经形成成熟的自给生态，打破了国外垄断，实现了网络和安全的高度融合。

从生产流程角度看，半导体芯片生产主要分为设计、制造和封测三大流程，并需要上游的半导体芯片设备与材料作为支撑。其中半导体芯片产品的制造都需要数百个工艺，整个制造过程分为八个步骤：晶圆加工、氧化、光刻、刻蚀、薄膜沉积、互连、测试以及封装。

图1 半导体芯片制造企业工艺流程及潜在风险点示意图

1.2

安全现状

随着半导体芯片产业的发展，网络安全和数据保护成为了安全管理中不可忽视的一环。半导体芯片企业的工业化和信息化融合使得其更容易受到网络攻击和数据泄露的威胁。这不仅可能导致经济损失，还可能危害到国家安全和公民的隐私权。据NTT安全控股公司的《2024年全球威胁情报报告》显示，勒索软件和勒索事件在2023年激增了67%。其中，制造业在2023年遭受攻击的行业中排名第一，占25.66%，在社交渠道上发布的勒索软件受害者也最多，占27.75%。据Malwarebytes称，随着我们进入2024年，勒索软件仍然是企业面临的最严重的网络威胁。

图2 半导体制造企业典型网络架构及安全风险示意图

事件一：日前，荷兰芯片制造商Nexperia证实，网络威胁犯罪分子在 2024 年 3 月入侵了其网络系统。4 月 10 日，勒索网站“Dunghill Leak”宣布成功入侵了Nexperia，窃取了 1TB 的机密数据，并公布了盗取的电子元件显微镜扫描图像、员工护照、保密协议和其他各种样本（这些样本的真实性尚未得到芯片制造商 Nexperia 的证实）。

事件二：根据《台北时报》2024年1月17日的消息，中国台湾省最大的半导体制造商之一——鸿海集团旗下的京鼎公司（Foxsemicon）近期遭遇了勒索软件攻击，而攻击者疑似勒索软件组织LockBit。京鼎公司网站在16日被挂上了一条通知：“您的数据被盗并被加密，并已获取了该公司 5 TB 的数据，如果不支付赎金，将在网上发布这些信息。”据悉，这是中国台湾岛内第一次传出有黑客集团在“黑”进上市公司之后，直接“挟持”其网站，昭告天下该公司内部数据被窃。

美国相关部门此前有报告称，LockBit在台湾的受害公司众多，2023年12月初，LockBit将台湾某上市自动化设备大厂的资料列在暗网网站上，要求该公司一周内联系他们，否则会公开窃取的内部数据。

二

基于勒索病毒的综合治理方案

针对勒索威胁持续猛烈的攻势，威努特推出勒索病毒多层次纵深防御体系，以有效遏制勒索团伙APT攻击。以勒索治理为方向，以防护技术为基础，以威胁情报为支撑，威努特将引领勒索治理进入全新模式，为半导体芯片行业的安全发展贡献力量。

在工业安全领域，威努特提供以工业安全纵深防护方案为核心的工业勒索治理方案，以以终端、边界、管理三重防护重点对象，形成以流量安全审计、工业网络勒索防御、工业主机防勒索、工业网络勒索监管治理等工业安全能力为支撑，打造轻量化的工业勒索威胁整体纵深防护治理体系。

威努特推出了针对勒索病毒的整体安全解决方案，从而帮助半导体芯片行业客户清除和管理内外部威胁，有效防护勒索病毒。此解决方案可帮助客户在办公网和生产网建设整体的安全防御体系，同时组织快速、高效地监测和响应勒索病毒攻击，有效管理网内工控主机的使用，对工控网提供全面的安全加固。通过威努特勒索病毒纵深防御体系，加固工控网络整体安全架构，有效降低勒索病毒的攻击并改善整体安全状况。

2.1

勒索治理方案详细设计

图3 半导体芯片企业安全防护示意图

在当前日益复杂的网络环境下，对于半导体芯片企业来说，构建一个强大的勒索病毒纵深防御体系至关重要。通过多层次、多角度的安全防护措施，结合国家网络安全等级保护工作的相关要求加强对半导体芯片生产和办公系统从主机、网络设备、恶意代码防范、审计等多个层面安全防护建设，极大提高网络的安全性和可靠性。

首先，网络边界安全是网络安全防御体系的第一道防线，半导体芯片企业一般将网络分成多个区域(如办公网、生产网)，以便加强管理。网络区域间往往不具备足够的安全防护能力，容易受到勒索病毒的攻击。

因此需要在半导体芯片企业办公网网络出口部署工业防火墙和威努特防毒墙，利用访问控制和工控协议深度解析技术，建立业务通信白名单，强化系统安全域边界的访问控制能力，拦截来自互联网勒索病毒攻击。在办公网和生产网区域间通过工业防火墙进行区域隔离，利用IPS、AV、URL等模块完成数据过滤和病毒进一步筛查，构建半导体芯片企业纵向多道防线，建立安全区域边界“白环境”。

在半导体芯片企业生产网核心区部署工控安全监测审计系统，基于工控协议深度解析技术，智能学习建立业务系统安全通信模型，实时监测针对芯片产品的网络攻击、勒索病毒等恶意软件的传播并实时报警。

其次，半导体芯片企业办公终端和生产网产线工控主机服务器是网络安全防御体系中的最后一道防线，办公终端和生产产线主机往往承载办公系统和业务数据，所以对于生产来说至关重要。

在半导体芯片企业办公网客户终端和服务器部署主机防勒索系统，深度结合操作系统内核驱动，以勒索行为监测、勒索病毒诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术，精准识别勒索软件、保护系统资源不被破坏，从而针对办公网存在的勒索病毒进行专防专治，同时通过主机防勒索管理平台对全网勒索侵害情况进行审计和监管，并将原始数据与分析结果统一发送给态势感知。

在半导体芯片生产网产线(如测试线操作员站和工程师站、互联线操作员站和工程师站、封装线操作员站和工程师站、光刻线操作员站和工程师站等)工控站部署工控主机卫士，通过文件白名单技术，实现对病毒和恶意代码的防范；通过安全基线加固技术，提升主机操作系统安全等级，建立主机安全“白环境”，有效阻止包括CryptoLocker、CTBLocker等在内的勒索病毒在生产产线主机上感染、执行和扩散。

最后，在半导体芯片企业生产网安全管理中心建立有效的安全监控系统，即态势分析与安全运营管理平台，实时监测办公网和生产网网络活动，检测潜在的威胁，及时采取相应的应对措施。态势分析与安全运营管理平台作为安全监控和事件响应中心，针对工业防火墙、主机防勒索、统一安全管理平台、工控安全监测审计、工控主机卫士等系统日志、告警日志和操作日志，进行日志总体收集、分析和溯源，实现对勒索病毒的“事前预测、事中告警和事后溯源”。

三

精选案例

3.1

项目背景

某公司是一家专注于半导体芯片设计制造一体化的企业，同时也提供完整的半导体芯片应用解决方案。利用先进的微电子技术，生产各种类型的芯片，广泛应用于计算机、通信、消费电子、汽车等多个领域。

该公司工厂总装车间工控机设备自2023年9月初以来多次因病毒导致设备蓝屏，产线停产9次，停产时间累积80分钟以上，涉及光标机、检车线等多条产线业务。基于保证正常生产任务的大前提下，优先解决中毒设备的原则，进行应急响应工作。

3.2

处理过程

第一阶段：

11台中毒工控机进行备份、杀毒、漏洞补丁修复、主机卫士白名单加固等操作；

第二阶段：

通过工控安全检测与审计系统进行分析，查找异常流量主机，排查中毒设备，总共完成59台工控机。

第三阶段：

持续监测工控网络安全风险，同时对本次事件进行溯源，对病毒上传时间与方式进行溯源分析，排查安全薄弱环节并进行加固。

3.3

加固方案

深度结合客户业务系统和勒索治理需求，以“白名单”为基础的工业控制系统安全“白环境”构建理念，对客户工业控制系统采取“垂直分层、水平分区、边界控制、主机防护、内部审计”的设计方针，进行整体的安全规划与建设；

通过部署工业防火墙对内部各业务区域进行网络隔离，配置不同的访问控制策略，杜绝非法行为；

在业务服务器和办公主机部署工控主机卫士，通过白名单的方式，防止病毒对工业主机、工控网络造成破坏。配合使用适配于工控主机卫士软件的安全U盘实现数据的安全传输及信息防泄露；

在核心交换机上旁路部署监测审计平台，对操作人员的行为进行审计和记录，便于事后追踪溯源；

部署统一安全管理平台，对工业控制网络部署的工业防火墙、监测审计平台和工控主机卫士进行统一的配置和管理，并对其日志信息进行统一收集、分析和管理；贯彻执行“业务无损、过程可控”的实施标准。

在安全管理区部署全局安全态势感知。通过对主机、网络设备、安全设备等日志收集分析，实现工业网络环境的安全态势，包括资产态势、运行态势、脆弱性态势、网络攻击态势等全面可视化、检测预警、事件回溯等能力。

图4 某半导体芯片制造企业整体安全防护体系图

3.4

客户价值

▪️ 客户企业办公网、生产网区域边界风险得到有效控制，生产网环境中的勒索病毒能够及时发现并处置，病毒生产网横向传播风险降低。

▪️ 自2023年10月安全加固后至今，客户生产网产线设备未出现因病毒攻击导致停产现象。

▪️ 通过本次整体防护体系建设发现了企业生产网中存在的问题和安全隐患，安全防护能力提升 80%。安全风险监测、预警能力、威胁发现率提升50%。

▪️ 构建了完善的安全防护体系，基本杜绝勒索软件攻击威胁，保护客户企业核心数据资产，风险处置时间缩短为原来的1/5。建立了多层隔离和保护，确保业务生产和办公数据的安全性。

四

总结

随着半导体芯片行业的数字化进程日益加速，网络安全问题变得愈发重要，其中勒索病毒防护尤为关键。国家制定了2025年实现70%的芯片自给率目标，加快中国芯片国产化，而这一点在如今网络攻击频发的大环境下愈发具有挑战性。展望未来，我们有理由相信半导体芯片行业在勒索病毒防护方面将迎来更加积极的变革，威努特始终扎根行业，为半导体芯片行业客户提供更贴近需求的一站式数智化勒索防护方案和专业化服务。

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121