2021年7月6日，美國(guó)聯(lián)邦能源監(jiān)管委員會(huì)(FERC)和北美電力可靠性公司(NERC)電力信息共享和分析中心(E-ISAC)發(fā)布了一份白皮書(shū)，題為《SolarWinds及其相關(guān)供應(yīng)鏈的攻擊——對(duì)北美電力行業(yè)的教訓(xùn)》。該白皮書(shū)描述了這些與供應(yīng)鏈相關(guān)的重大網(wǎng)絡(luò)安全事件，以及為確保系統(tǒng)安全而采取的關(guān)鍵行動(dòng)，并旨在讓電力行業(yè)的利益相關(guān)者和供應(yīng)商考慮下一步如何持續(xù)有效應(yīng)對(duì)SolarWinds網(wǎng)絡(luò)攻擊，以及最近發(fā)現(xiàn)的有可能危及電力行業(yè)網(wǎng)絡(luò)安全的其他網(wǎng)絡(luò)安全漏洞問(wèn)題。特別強(qiáng)調(diào)需要對(duì)北美電力行業(yè)的供應(yīng)鏈攻擊和安全事件保持足夠警惕。

　　白皮書(shū)：“主要關(guān)注與SolarWinds Orion平臺(tái)相關(guān)的重大且正在進(jìn)行的網(wǎng)絡(luò)安全事件，以及與微軟365/Azure云相關(guān)的黑客攻擊，還關(guān)注了諸如Pulse Connect Secure、微軟Exchange郵件服務(wù)器和F5的BIG-IP等產(chǎn)品的漏洞相關(guān)的問(wèn)題。

　　白皮書(shū)提供了關(guān)鍵行動(dòng)和關(guān)鍵問(wèn)題，以確保電力行業(yè)正在采取所有必要的步驟，以減輕與這些事故和漏洞相關(guān)的攻擊危害。強(qiáng)調(diào)了電力行業(yè)對(duì)供應(yīng)鏈攻擊和事故持續(xù)保持警惕的必要性，識(shí)別了對(duì)手間諜技術(shù)的關(guān)鍵要素，強(qiáng)調(diào)了特定的惡意軟件和補(bǔ)救工具，并建議采取行動(dòng)確保”大容量電力系統(tǒng)“的可靠性和安全性。

　　就SolarWinds攻擊而言，考慮到其復(fù)雜性、廣度，白皮書(shū)建議”電力行業(yè)的利益相關(guān)者就當(dāng)充分考慮可用的診斷和緩解措施，以有效解決軟件攻擊問(wèn)題，包括考慮美國(guó)國(guó)土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）建議的緊急指令21-01（面向聯(lián)邦機(jī)構(gòu)）和CISA警報(bào)AA20-352A（面向私營(yíng)部門(mén)）。這些建議包括“斷開(kāi)受影響的系統(tǒng)，進(jìn)行深入取證，實(shí)施風(fēng)險(xiǎn)分析，并在重新連接（或重建）受影響的系統(tǒng)之前向CISA咨詢。白皮書(shū)還包括其自己的具體建議行業(yè)行動(dòng)，內(nèi)容廣泛而詳細(xì)

　　特別值得注意的是，白皮書(shū)指出，由于SolarWinds的廣泛應(yīng)用和使用的對(duì)抗策略，即使沒(méi)有在其網(wǎng)絡(luò)上安裝SolarWinds的實(shí)體也可能受到影響。例如，在沒(méi)有SolarWinds的網(wǎng)絡(luò)上已經(jīng)發(fā)現(xiàn)了危害指標(biāo)（ioc）。此外，雖然實(shí)體可能沒(méi)有使用SolarWinds，但它們的主要供應(yīng)商可能使用該產(chǎn)品。如果供應(yīng)商受到損害，那么反過(guò)來(lái)，供應(yīng)商也會(huì)損害他們的客戶，包括那些沒(méi)有SolarWinds的客戶。事實(shí)上，有證據(jù)表明科技公司正是因?yàn)檫@個(gè)原因而成為攻擊目標(biāo)。因此，電力業(yè)界人士應(yīng)仔細(xì)檢討白皮書(shū)所建議的行動(dòng)及所提及的警告，并考慮落實(shí)適用于這些行動(dòng)的措施。

　　白皮書(shū)還指出，E-ISAC正與其成員、FERC以及加拿大和美國(guó)政府的其他合作伙伴密切合作，為電力行業(yè)的所有部門(mén)提供及時(shí)、可操作和有用的防御信息。展望未來(lái)，E-ISAC計(jì)劃以新的”網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息共享計(jì)劃“能力補(bǔ)充其現(xiàn)有的信息共享，加強(qiáng)跨境共享，并與美國(guó)能源部網(wǎng)絡(luò)安全辦公室合作，”能源安全和應(yīng)急響應(yīng)中心“和FERC工作人員”隨時(shí)準(zhǔn)備協(xié)助分享網(wǎng)絡(luò)攻擊行動(dòng)信息，以支持電力行業(yè)主動(dòng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊和其他網(wǎng)絡(luò)漏洞?！?/p>

　　在對(duì)電力行業(yè)下一步的行動(dòng)建議中，白皮書(shū)指出，F(xiàn)ERC職員及E-ISAC強(qiáng)烈建議業(yè)界采取以下行動(dòng)：

　　無(wú)論是否使用受影響的SolarWinds Onion平臺(tái)產(chǎn)品，從計(jì)算機(jī)取證的角度需要驗(yàn)證CISA警報(bào)AA20-352A附錄B中的IOCs是否存在。

　　來(lái)源可能包括網(wǎng)絡(luò)流數(shù)據(jù)、DNS （Domain Name Services）日志、防火墻日志、EDR （Endpoint Detection and Response）日志、主機(jī)和服務(wù)器日志以及代理日志。如果目前沒(méi)有保留以上所有日志源至少180天，請(qǐng)考慮提高數(shù)據(jù)、日志收集能力，并準(zhǔn)備好達(dá)到這種要求級(jí)別所需的資源。

　　充分考慮聯(lián)邦機(jī)構(gòu)的緊急指令，如果他們的網(wǎng)絡(luò)顯示出攻擊跡象：

　　斷開(kāi)受影響的系統(tǒng)，進(jìn)行深入取證，進(jìn)行風(fēng)險(xiǎn)分析，在重新連接受影響的系統(tǒng)之前向CISA咨詢，并在必要時(shí)重建受感染的網(wǎng)絡(luò)，包括身份管理系統(tǒng)。

　　要求主要供應(yīng)商報(bào)告其對(duì)SolarWinds的使用情況，在不考慮此類(lèi)使用的情況下檢查T(mén)TPs/IOCs的行動(dòng)，以及DHS出版物警報(bào)AA20-352a和緊急指令21-01建議的任何后續(xù)補(bǔ)救行動(dòng)。

　　如果繼續(xù)在您的駐地或云托管環(huán)境中運(yùn)行太陽(yáng)風(fēng)，請(qǐng)按照緊急指令21-01指南附錄B（運(yùn)行太陽(yáng)風(fēng)獵戶座的特定條件）中規(guī)定的緩解活動(dòng)。

　　對(duì)于第三方托管環(huán)境（例如，云），盤(pán)點(diǎn)所有信息系統(tǒng)，并向服務(wù)提供商查詢符合CISA緊急指令21-01和警報(bào)AA20-352A的狀態(tài)。在DHS AA20-352A附錄B的IOCs上進(jìn)行日志查詢，考慮不使用受影響的SolarWinds產(chǎn)品。

　　如果目前沒(méi)有在云托管環(huán)境中使用高級(jí)日志操作，除了至少180天的日志保留，以及集中式帶外日志記錄（本地或單獨(dú)的云實(shí)例），請(qǐng)考慮必要的資源來(lái)提高您的能力到這個(gè)級(jí)別。

　　重新驗(yàn)證主機(jī)和網(wǎng)絡(luò)權(quán)限的最小權(quán)限原則的實(shí)現(xiàn)，特別是圍繞本地管理權(quán)限、服務(wù)帳戶和Active Directory下的委托。

　　考慮一種基于系統(tǒng)風(fēng)險(xiǎn)的方法來(lái)保護(hù)最關(guān)鍵的資產(chǎn)。

　　實(shí)施國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）網(wǎng)絡(luò)安全框架，并實(shí)現(xiàn)關(guān)鍵訪問(wèn)和管理權(quán)限的基線。

　　考慮與其他公用事業(yè)公司一起參與網(wǎng)絡(luò)互助計(jì)劃，以確保網(wǎng)絡(luò)事件期間的協(xié)同響應(yīng)。與第三方供應(yīng)商、合作伙伴和政府實(shí)施網(wǎng)絡(luò)和物理安全響應(yīng)計(jì)劃。必要時(shí)審查和更新網(wǎng)絡(luò)計(jì)劃，包括從這些供應(yīng)鏈攻擊中吸取的教訓(xùn)。

　　考慮進(jìn)行安全評(píng)估或滲透測(cè)試，以確保安全基線。

　　增加向E-ISAC和CISA自愿報(bào)告的及時(shí)性，以及強(qiáng)制性的CIP-008-6報(bào)告。