时隔三个月后，2020 年年底那场牵连到美国数百家企业，影响近1.8 万用户的 SolarWinds 供应链攻击事件 ，终于进入了新阶段。

　　上周，美国众议院和国土安全委员会举办联合听证会，了解SolarWinds 事件的进展。在会上，solarwinds123 这个弱密码成了众矢之的，而 SolarWinds 前首席执行官Kevin Thompson甩锅实习生的言论，更是让人大跌眼镜。

　　这原本是一名实习生犯下的错误。他违反了的密码规范，使用了这个简单的密码并发到了 GitHub 上。

　　在听证会上，议员们听到这个消息都震惊不已。众议员Katie Porter直接表示：

　　作为一个提供网络安全管理软件的，SolarWinds 本应当帮助客户阻止入侵事件，结果却亲手给攻击者递了刀子……

　　在此前的 事件梳理 中，我们提到过，SolarWinds 的安全防御原本就比较薄弱。在 2019 年，安全研究人员 Vinoth Kumar 发现 SolarWinds 的服务器使用了一个非常弱的密码，也就是本文开头说到的弱密码：solarwinds123。利用这个密码，任何人都可以访问 SolarWinds 的服务器，他为此向 SolarWinds 发出了警告。收到警告后，SolarWinds 才于 2019 年 11 月修改密码。而事实上，至少从 2018 年 6 月开始，这个密码就已经在网上公开。这一年多的时间，究竟贡献了多少攻击机会，谁也难说。只能说，这个锅让实习生来背，硅胶O型圈是有点沉了。

　　在听证会上，SolarWinds 的前任与现任 CEO 在甩锅实习生后，都没有解释为什么这么简单的密码会通过企业内部的审查。或者说，这也意味着他们内部的安全管理体系并不完善。过往的案例和数据表明，很多企业在网络安全管理方面做得并不到位，弱密码就是表现之一。弱密码很容易被暴力破解，泄露的密码又容易用于撞库攻击，导致更大规模的入侵和泄露事件发生。

　　2 月初，农历新年之前，佛罗里达州奥尔德斯马市水处理设施的计算机系统遭遇入侵，水中碱液量被调整到危险（致死）水平。近日公布的调查结果也显示，弱密码和老旧的操作系统，是造成入侵的原因。

　　对于企业来说，防止弱密码简单的方法就是制定、执行相关的管理体系，不断培训、增强员工安全意识。在我国，《网络安全法》、《网络安全等级保护基本要求》、《中华人民共和国密码法》等法律法规或标准，都对密码的规范使用做出了相应要求。

　　使用密码管理软件生成、管理自己的密码也是很方便的选择。虽然我们经常调侃自己用六位数的密码保护三位数的余额。但别忘了，除了余额，硅胶O型圈我们还有更多珍贵的隐形资产。硅胶O型圈更何况，万一哪天像 SolarWinds 的实习生一样，这种锅可不一定背得动啊……
以上信息由宁波加耐斯密封工业有限公司整理编辑，了解更多O型圈,氟胶O型圈,硅胶O型圈,丁腈橡胶O型圈信息请访问http://www.wos-seal.com