CISA：企业断网3到5天，赶走网络中的 SolarWinds 黑客

SolarWinds 攻击事件曝光于2020年12月，它滥用 SolarWinds 公司的 Orion IT 监控软件实施首次攻陷并影响位于美国的多家政府机构、安全厂商和其它多个组织机构。

4月，美国将该攻击归因于俄罗斯对外情报局 (SVR)，驱逐了10名俄罗斯外交官并宣布制裁多家实体。

CISA 发布最新分析报告 AR21-134A，专为使用了受影响的 SolarWinds Orion 版本且在环境中发现了攻击者活动的联邦机构发布，详细说明了这些机构应该采取的资源密集型和高度复杂步骤，要求企业网络从互联网断开3到5天的时间。

CISA 表示，“为了获得高层的完全支持，CISA建议机构高层领导在这个进程中开展规划会话，了解所需资源以及对业务运作产生的任何潜在破坏。”

CISA 鼓励关键基础设施、政府组织机构和私有行业实体审查并应用该指南，将攻击者从网络中踢出并增强安全性。

CISA 提出的修复规划包括采取措施检测并识别网络中的攻击者活动，采取措施将攻击者从本地和云环境中删除，以及采取措施确保该删除行动获得成功。

CISA 表示，“按照指南中的所有步骤行动，是将攻击者从 Category 3 网络中完全删除的必要步骤。如未能开展全面彻底的修复活动，将把企业网络和云环境暴露到长期未被检测的 APT 活动的巨大风险中，并且受陷组织机构将冒着失去敏感数据的风险且丢失网络中的公众信任。“

除了发布该指南外，CISA 还公开发布了《紧急指令 (ED) 21-01 补充说明 v4》。4月份，CISA 向所有受影响联邦机构颁布该指令，并要求这些机构停用受影响的 SolarWinds Orion 产品并执行攻陷检测和修复操作。