2021年7月6日，美國聯邦能源監管委員會(FERC)和北美電力可靠性公司(NERC)電力信息共享和分析中心(E-ISAC)發布了一份白皮書，題為《SolarWinds及其相關供應鏈的攻擊——對北美電力行業的教訓》。該白皮書描述了這些與供應鏈相關的重大網絡安全事件，以及為確保系統安全而采取的關鍵行動，并旨在讓電力行業的利益相關者和供應商考慮下一步如何持續有效應對SolarWinds網絡攻擊，以及最近發現的有可能危及電力行業網絡安全的其他網絡安全漏洞問題。特別強調需要對北美電力行業的供應鏈攻擊和安全事件保持足夠警惕。

　　白皮書：“主要關注與SolarWinds Orion平臺相關的重大且正在進行的網絡安全事件，以及與微軟365/Azure云相關的黑客攻擊，還關注了諸如Pulse Connect Secure、微軟Exchange郵件服務器和F5的BIG-IP等產品的漏洞相關的問題。

　　白皮書提供了關鍵行動和關鍵問題，以確保電力行業正在采取所有必要的步驟，以減輕與這些事故和漏洞相關的攻擊危害。強調了電力行業對供應鏈攻擊和事故持續保持警惕的必要性，識別了對手間諜技術的關鍵要素，強調了特定的惡意軟件和補救工具，并建議采取行動確保”大容量電力系統“的可靠性和安全性。

　　就SolarWinds攻擊而言，考慮到其復雜性、廣度，白皮書建議”電力行業的利益相關者就當充分考慮可用的診斷和緩解措施，以有效解決軟件攻擊問題，包括考慮美國國土安全部的網絡安全和基礎設施安全局（CISA）建議的緊急指令21-01（面向聯邦機構）和CISA警報AA20-352A（面向私營部門）。這些建議包括“斷開受影響的系統，進行深入取證，實施風險分析，并在重新連接（或重建）受影響的系統之前向CISA咨詢。白皮書還包括其自己的具體建議行業行動，內容廣泛而詳細

　　特別值得注意的是，白皮書指出，由于SolarWinds的廣泛應用和使用的對抗策略，即使沒有在其網絡上安裝SolarWinds的實體也可能受到影響。例如，在沒有SolarWinds的網絡上已經發現了危害指標（ioc）。此外，雖然實體可能沒有使用SolarWinds，但它們的主要供應商可能使用該產品。如果供應商受到損害，那么反過來，供應商也會損害他們的客戶，包括那些沒有SolarWinds的客戶。事實上，有證據表明科技公司正是因為這個原因而成為攻擊目標。因此，電力業界人士應仔細檢討白皮書所建議的行動及所提及的警告，并考慮落實適用于這些行動的措施。

　　白皮書還指出，E-ISAC正與其成員、FERC以及加拿大和美國政府的其他合作伙伴密切合作，為電力行業的所有部門提供及時、可操作和有用的防御信息。展望未來，E-ISAC計劃以新的”網絡安全風險信息共享計劃“能力補充其現有的信息共享，加強跨境共享，并與美國能源部網絡安全辦公室合作，”能源安全和應急響應中心“和FERC工作人員”隨時準備協助分享網絡攻擊行動信息，以支持電力行業主動應對網絡攻擊和其他網絡漏洞。“

　　在對電力行業下一步的行動建議中，白皮書指出，FERC職員及E-ISAC強烈建議業界采取以下行動：

　　無論是否使用受影響的SolarWinds Onion平臺產品，從計算機取證的角度需要驗證CISA警報AA20-352A附錄B中的IOCs是否存在。

　　來源可能包括網絡流數據、DNS （Domain Name Services）日志、防火墻日志、EDR （Endpoint Detection and Response）日志、主機和服務器日志以及代理日志。如果目前沒有保留以上所有日志源至少180天，請考慮提高數據、日志收集能力，并準備好達到這種要求級別所需的資源。

　　充分考慮聯邦機構的緊急指令，如果他們的網絡顯示出攻擊跡象：

　　斷開受影響的系統，進行深入取證，進行風險分析，在重新連接受影響的系統之前向CISA咨詢，并在必要時重建受感染的網絡，包括身份管理系統。

　　要求主要供應商報告其對SolarWinds的使用情況，在不考慮此類使用的情況下檢查TTPs/IOCs的行動，以及DHS出版物警報AA20-352a和緊急指令21-01建議的任何后續補救行動。

　　如果繼續在您的駐地或云托管環境中運行太陽風，請按照緊急指令21-01指南附錄B（運行太陽風獵戶座的特定條件）中規定的緩解活動。

　　對于第三方托管環境（例如，云），盤點所有信息系統，并向服務提供商查詢符合CISA緊急指令21-01和警報AA20-352A的狀態。在DHS AA20-352A附錄B的IOCs上進行日志查詢，考慮不使用受影響的SolarWinds產品。

　　如果目前沒有在云托管環境中使用高級日志操作，除了至少180天的日志保留，以及集中式帶外日志記錄（本地或單獨的云實例），請考慮必要的資源來提高您的能力到這個級別。

　　重新驗證主機和網絡權限的最小權限原則的實現，特別是圍繞本地管理權限、服務帳戶和Active Directory下的委托。

　　考慮一種基于系統風險的方法來保護最關鍵的資產。

　　實施國家標準與技術研究所（NIST）網絡安全框架，并實現關鍵訪問和管理權限的基線。

　　考慮與其他公用事業公司一起參與網絡互助計劃，以確保網絡事件期間的協同響應。與第三方供應商、合作伙伴和政府實施網絡和物理安全響應計劃。必要時審查和更新網絡計劃，包括從這些供應鏈攻擊中吸取的教訓。

　　考慮進行安全評估或滲透測試，以確保安全基線。

　　增加向E-ISAC和CISA自愿報告的及時性，以及強制性的CIP-008-6報告。