本周一，來自美國多家電力公司的高管組織電話會議，商討聯(lián)邦政府承包商SolarWinds曝出的嚴重后門問題。

　　本次會議由一家具有政府性質的行業(yè)管理組織——電力子行業(yè)協(xié)調委員會主辦，這僅僅是SolarWinds遭遇惡意攻擊所造成的連鎖反應之一。

　　據(jù)報道，SolarWinds遭遇入侵已經給美國財政部、國土安全部在內的多家美國聯(lián)邦政府機構造成影響。受影響的軟件被廣泛部署在電力、石油、天然氣以及制造業(yè)等多個領域，而相關從業(yè)組織紛紛開始評估自身可能因此受到哪些影響與威脅。

　　一位參加此次會議的匿名美國官員表示，“我們必須發(fā)布一部分與事件相關的概念與觀點，提醒各關鍵基礎設施所有者及運營商為可能出現(xiàn)的種種影響做好準備。”

　　長期以來，保障供應鏈安全一直是不少電力企業(yè)與能源組織的關注重點。但專家們同時指出，SolarWinds事件也應該給其他領域的從業(yè)者們敲響警鐘。

　　工業(yè)網絡安全公司Dragos的首席執(zhí)行官Robert M. Lee表示，不少使用工業(yè)控制系統(tǒng)（即使用計算機控制機械）的組織現(xiàn)在已經意識到，自己使用的相當一部分系統(tǒng)中都集成了SolarWinds軟件。

　　Lee指出，“此次事件意味著不少組織的工業(yè)控制系統(tǒng)（ICS）網絡中都存在著可被攻擊者利用的SolarWinds版本。當然，攻擊者能否順利入侵，還要看組織所采用的實際業(yè)務架構?！钡珡哪壳暗那闆r來看，他還沒有發(fā)現(xiàn)攻擊者借此入侵ICS網絡的跡象。

　　根據(jù)擁有豐富電力從業(yè)經驗的Archer Security Group顧問Patrick C. Miller的說法，部分電力設施確實在使用SolarWinds提供的Orion軟件，其中運行的敏感ICS網絡必須受到嚴格的監(jiān)管約束。

　　他總結稱，遵循北美地區(qū)電網法規(guī)的組織可能會在此類控制系統(tǒng)中發(fā)現(xiàn)滲透活動及類似的企圖。但考慮到SolarWinds入侵事件中攻擊一方表現(xiàn)出極高的技術水平，各組織應該予以認真對待。