写点什么

安全人士可以从 CrowdStrike 事件中汲取的五点教训

  • 2024-07-29
    湖南
  • 本文字数:1614 字

    阅读完需:约 5 分钟

CrowdStrike 错误更新导致全球范围 Windows 蓝屏事件已经发酵数日,该事件被业内人士看作是“历史上最大规模系统崩溃事件”,震惊了整个世界。


这次事件并非是某个国家级黑客组织或大师级黑客的杰作,而是 CrowdStrike 更新文件的一个错误,导致包括机场、银行、政府甚至紧急服务在内的大量关键基础设施系统因蓝屏死机而瘫痪。


以下是安全专业人士从这次事件中可以汲取的五点重要教训。

1、无需幸灾乐祸,警惕害群之马

Crowdstrike 大规模系统崩溃事件是过去几天最热门的聊天话题之一,IT 和安全专业人士们热衷转发表情包嘲讽该公司犯下的愚蠢错误,但请记住,下一个出现在热搜的可能就是你供职的公司。


随着平台化和云化的深入,网络安全市场的市场集中度不断提高,任何一次失误都可能引发全球性的连锁反应。公有云的几次重大停机事故已经引发了全球性的“下云运动”,网络安全行业需要反思如何缓解过度集中化的风险,避免单个企业的失误对整个行业造成毁灭性的打击。

2、网络攻击还是意外?

CrowdStrike 的官方声明否认该事件是“网络安全事件”或者“网络攻击”。但是网络安全的一个关键原则是可用性,从手段和结果来看,对于 CIO 和 CISO 来说,这次事件显然与一次大规模的网络攻击没有什么区别(无需支付赎金,但恢复工作仍然极为痛苦)。


“一遭被蛇咬十年怕井绳”,此次事件后,相信大量 CIO 都会对 EDR 终端代理感到紧张。网络安全行业的其他企业可能会是该事件的最大受害者,网络安全企业与客户之间的基本信任已经被击碎。现在,CISO 们需要为服务器和终端上运行的每个安全解决方案重新辩护。接下来的几周和几个月里,CISO 们和安全供应商之间将会有很多艰难的对话。

3、立即对威胁模型进行评估

过去几天经常会看到这样的肤浅言论:“我们用的是 Macbook,所以躲过了一劫”或“我们不用 CrowdStrike,谢天谢地!”“我们是中资企业,所以不受影响,哈哈哈。”要知道,今天出事的是网络安全巨头 CrowdStrike,明天可能就是其他更拉垮的草台班子。


现代 IT 环境是由各种软件代理和厂商产品混合而成,单点故障几乎不可避免。评估这种情况时,我们需要扪心自问:如果我的所有 Windows 服务器和终端都瘫痪了会怎样?我们能转向基于云的服务吗?我们有其他可用的终端代理吗?可以肯定的是,网络犯罪分子已经看到了这次停机事件造成惊人损失,并在思考如何从中获利(最常见的操作是冒充修复工具或漏洞补丁的网络钓鱼攻击)。

4、检查你的补丁管理流程

永远不要在周末前或周末期间打补丁。在打补丁时,分阶段进行,而不是批量更新。可以想象,全球数百万 IT 支持人员会无法理解 CrowdStrike 这种头部企业居然会忽视这些最基本的流程。


即使微软和 Crowdstrike 发布了修复程序和指南,但手动修复方式对于管理成千上万台服务器/终端的 IT 团队来说依然是一场噩梦。再加上大多数使用 CrowdStrike 的公司已经加密了他们的服务器(例如 Bitlocker),这让恢复工作的痛苦指数进一步上升。更不用说,基于云的服务器不能简单地进入安全模式进行修复;你必须分离存储,修复它,然后重新连接。这将是对公司灾难恢复流程的巨大考验。幸运的是,已经有许多可用的自动化脚本发布,大大提高恢复流程的效率。


如果你所在的(网络安全)公司经常发布补丁,现在是重新评估补丁管理实践的好时机!永远不要在周末打补丁,如果必须这样做,请采用分阶段的灰度更新方法,确保能随时回滚到安全状态。

5、重新审视你的软件供应链

软件供应链是网络安全最大的盲点之一,业界对开源代码或网络安全企业自身的产品安全往往重视不足。事实上,没有任何软件是 100%从头开始制作的,大多是各种软件代码库和依赖关系的混合体。即使你无法剔除这些依赖关系,至少可以深入了解你所拥有的代码资产及其风险状况。


要知道,与监控并掌管全球数亿设备的 EDR/XDR 软件市场相比,Crowdstrike 事件只是冰山一角。此外,开源供应链攻击和 AI 大模型数据泄漏的规模和损失可能会超出你的想象,任何企业,无论是软件供应链的上游还是下游企业,都需要为此类风险做好预案和防御措施。

用户头像

欢迎关注,一起学习,一起交流,一起进步 2020-06-14 加入

公众号:做梦都在改BUG

评论

发布
暂无评论
安全人士可以从CrowdStrike事件中汲取的五点教训_网络安全_我再BUG界嘎嘎乱杀_InfoQ写作社区