北美电力行业深刻反思SolarWinds供应链攻击事件的教训并发出警示
发布日期:2021-07-12
来源:网空闲话
2021年7月6日,美国联邦能源监管委员会(FERC)和北美电力可靠性公司(NERC)电力信息共享和分析中心(E-ISAC)发布了一份白皮书,题为《SolarWinds及其相关供应链的攻击——对北美电力行业的教训》。该白皮书描述了这些与供应链相关的重大网络安全事件,以及为确保系统安全而采取的关键行动,并旨在让电力行业的利益相关者和供应商考虑下一步如何持续有效应对SolarWinds网络攻击,以及最近发现的有可能危及电力行业网络安全的其他网络安全漏洞问题。特别强调需要对北美电力行业的供应链攻击和安全事件保持足够警惕。
白皮书:“主要关注与SolarWinds Orion平台相关的重大且正在进行的网络安全事件,以及与微软365/Azure云相关的黑客攻击,还关注了诸如Pulse Connect Secure、微软Exchange邮件服务器和F5的BIG-IP等产品的漏洞相关的问题。
白皮书提供了关键行动和关键问题,以确保电力行业正在采取所有必要的步骤,以减轻与这些事故和漏洞相关的攻击危害。强调了电力行业对供应链攻击和事故持续保持警惕的必要性,识别了对手间谍技术的关键要素,强调了特定的恶意软件和补救工具,并建议采取行动确保”大容量电力系统“的可靠性和安全性。
就SolarWinds攻击而言,考虑到其复杂性、广度,白皮书建议”电力行业的利益相关者就当充分考虑可用的诊断和缓解措施,以有效解决软件攻击问题,包括考虑美国国土安全部的网络安全和基础设施安全局(CISA)建议的紧急指令21-01(面向联邦机构)和CISA警报AA20-352A(面向私营部门)。这些建议包括“断开受影响的系统,进行深入取证,实施风险分析,并在重新连接(或重建)受影响的系统之前向CISA咨询。白皮书还包括其自己的具体建议行业行动,内容广泛而详细
特别值得注意的是,白皮书指出,由于SolarWinds的广泛应用和使用的对抗策略,即使没有在其网络上安装SolarWinds的实体也可能受到影响。例如,在没有SolarWinds的网络上已经发现了危害指标(ioc)。此外,虽然实体可能没有使用SolarWinds,但它们的主要供应商可能使用该产品。如果供应商受到损害,那么反过来,供应商也会损害他们的客户,包括那些没有SolarWinds的客户。事实上,有证据表明科技公司正是因为这个原因而成为攻击目标。因此,电力业界人士应仔细检讨白皮书所建议的行动及所提及的警告,并考虑落实适用于这些行动的措施。
白皮书还指出,E-ISAC正与其成员、FERC以及加拿大和美国政府的其他合作伙伴密切合作,为电力行业的所有部门提供及时、可操作和有用的防御信息。展望未来,E-ISAC计划以新的”网络安全风险信息共享计划“能力补充其现有的信息共享,加强跨境共享,并与美国能源部网络安全办公室合作,”能源安全和应急响应中心“和FERC工作人员”随时准备协助分享网络攻击行动信息,以支持电力行业主动应对网络攻击和其他网络漏洞。“
在对电力行业下一步的行动建议中,白皮书指出,FERC职员及E-ISAC强烈建议业界采取以下行动:
无论是否使用受影响的SolarWinds Onion平台产品,从计算机取证的角度需要验证CISA警报AA20-352A附录B中的IOCs是否存在。
来源可能包括网络流数据、DNS (Domain Name Services)日志、防火墙日志、EDR (Endpoint Detection and Response)日志、主机和服务器日志以及代理日志。如果目前没有保留以上所有日志源至少180天,请考虑提高数据、日志收集能力,并准备好达到这种要求级别所需的资源。
充分考虑联邦机构的紧急指令,如果他们的网络显示出攻击迹象:
断开受影响的系统,进行深入取证,进行风险分析,在重新连接受影响的系统之前向CISA咨询,并在必要时重建受感染的网络,包括身份管理系统。
要求主要供应商报告其对SolarWinds的使用情况,在不考虑此类使用的情况下检查TTPs/IOCs的行动,以及DHS出版物警报AA20-352a和紧急指令21-01建议的任何后续补救行动。
如果继续在您的驻地或云托管环境中运行太阳风,请按照紧急指令21-01指南附录B(运行太阳风猎户座的特定条件)中规定的缓解活动。
对于第三方托管环境(例如,云),盘点所有信息系统,并向服务提供商查询符合CISA紧急指令21-01和警报AA20-352A的状态。在DHS AA20-352A附录B的IOCs上进行日志查询,考虑不使用受影响的SolarWinds产品。
如果目前没有在云托管环境中使用高级日志操作,除了至少180天的日志保留,以及集中式带外日志记录(本地或单独的云实例),请考虑必要的资源来提高您的能力到这个级别。
重新验证主机和网络权限的最小权限原则的实现,特别是围绕本地管理权限、服务帐户和Active Directory下的委托。
考虑一种基于系统风险的方法来保护最关键的资产。
实施国家标准与技术研究所(NIST)网络安全框架,并实现关键访问和管理权限的基线。
考虑与其他公用事业公司一起参与网络互助计划,以确保网络事件期间的协同响应。与第三方供应商、合作伙伴和政府实施网络和物理安全响应计划。必要时审查和更新网络计划,包括从这些供应链攻击中吸取的教训。
考虑进行安全评估或渗透测试,以确保安全基线。
增加向E-ISAC和CISA自愿报告的及时性,以及强制性的CIP-008-6报告。
