机构名称:
¥ 2.0
执行摘要 这份白皮书由联邦能源管理委员会 (FERC) 工作人员和 E- ISAC 联合编写,强调电力行业需要持续警惕与供应链入侵和事件相关的事件,并建议采取具体的网络安全缓解措施,以更好地确保大容量电力系统 (BPS) 的安全。虽然主要关注与 SolarWinds Orion 平台和相关的 Microsoft 365/Azure Cloud 入侵相关的持续网络事件,但它也解决了 Pulse Connect Secure 等产品中的相关入侵问题。另外两个入侵示例是 Microsoft 的内部部署 Exchange 服务器和 F5 的 BIG-IP,我们将讨论这两个入侵示例,以说明对手对无处不在的软件系统的持续兴趣和利用。由于 SolarWinds 的广泛使用和所使用的对抗策略,即使是未在其网络上安装 SolarWinds 的实体也可能受到影响。例如,在没有 SolarWinds 的网络上发现了入侵指标 (IOC)。此外,尽管实体可能没有使用 SolarWinds,但他们的主要供应商可能会使用该产品。如果供应商受到攻击,供应商反过来可能会危害其客户,包括那些没有 SolarWinds 的客户。事实上,有证据表明科技公司因此成为攻击目标。2020 年 12 月 13 日,网络安全解决方案和取证公司 FireEye Inc. 公开发布了有关对 SolarWinds Orion 开发的某些软件进行攻击的详细信息。对于受害者来说,这次攻击尤其具有破坏性,因为为了正常运行,SolarWinds 必须对其管理的网络(包括实体的企业网络和运营网络)拥有广泛和特权的访问权限。此次入侵为对手提供了监控网络流量和破坏系统的机会,这可能会导致其运营中断。为强调事件的严重性,2020 年 12 月 13 日,美国国土安全部 (DHS) 网络安全和基础设施安全局 (CISA) 发布了紧急指令 21-01,要求联邦机构根据国土安全部的评估采取行动,即 SolarWinds 攻击的成功入侵将产生“严重”后果。2020 年 12 月 15 日,白宫国家安全委员会 (NSC) 成立了一个由多个联邦机构组成的网络统一协调小组 (UCG),以协调对“重大”网络事件的调查和补救。2020 年 12 月 17 日,CISA 发布了针对私营部门的警报 AA20-352A,其中描述了针对行业的攻击、受影响的产品和缓解建议。为了应对此次入侵,SolarWinds 发布了其软件的新版本,该版本消除了受感染的代码并解决了其他漏洞。至少,建议受感染软件的用户使用更新后的版本更新其 SolarWinds 软件。然而,CISA 警告称,即使是更新后的 SolarWinds 版本也可能存在一定风险,并解释说“……攻击者很可能能够识别 SolarWinds Orion 代码中任何潜在的……漏洞,这些漏洞与插入的恶意代码无关,因此可能在被删除后仍能幸存下来。” 1 考虑到 SolarWinds 攻击的复杂性、广度和持久性,建议电力行业利益相关者充分考虑可用的诊断和缓解措施,以有效解决软件入侵问题。同样,实体考虑这两个 CISA 警报的建议也很有价值。虽然 CISA 紧急指令 21-01 是针对联邦机构的,但私营部门实体也可以从文件中规定的具体缓解措施中受益,
SolarWinds 及相关供应链入侵
主要关键词
相关文件推荐
