CrowdStrike錯誤更新導致全球范圍Windows藍屏事件已經發酵數日,該事件被業內人士看作是“歷史上最大規模系統崩潰事件”,震驚了整個世界。
這次事件并非是某個國家級黑客組織或大師級黑客的杰作,而是CrowdStrike更新文件的一個錯誤,導致包括機場、銀行、政府甚至緊急服務在內的大量關鍵基礎設施系統因藍屏死機而癱瘓。
以下是安全專業人士從這次事件中可以汲取的五點重要教訓。
1.無需幸災樂禍,警惕害群之馬
Crowdstrike大規模系統崩潰事件是過去幾天最熱門的聊天話題之一,IT和安全專業人士們熱衷轉發表情包嘲諷該公司犯下的愚蠢錯誤,但請記住,下一個出現在熱搜的可能就是你供職的公司。
隨著平臺化和云化的深入,網絡安全市場的市場集中度不斷提高,任何一次失誤都可能引發全球性的連鎖反應。公有云的幾次重大停機事故已經引發了全球性的“下云運動”,網絡安全行業需要反思如何緩解過度集中化的風險,避免單個企業的失誤對整個行業造成毀滅性的打擊。
2.網絡攻擊還是意外?
CrowdStrike的官方聲明否認該事件是“網絡安全事件”或者“網絡攻擊”。但是網絡安全的一個關鍵原則是可用性,從手段和結果來看,對于CIO和CISO來說,這次事件顯然與一次大規模的網絡攻擊沒有什么區別(無需支付贖金,但恢復工作仍然極為痛苦)。
“一遭被蛇咬十年怕井繩”,此次事件后,相信大量CIO都會對EDR終端代理感到緊張。網絡安全行業的其他企業可能會是該事件的最大受害者,網絡安全企業與客戶之間的基本信任已經被擊碎。現在,CISO們需要為服務器和終端上運行的每個安全解決方案重新辯護。接下來的幾周和幾個月里,CISO們和安全供應商之間將會有很多艱難的對話。
3.立即對威脅模型進行評估
過去幾天經常會看到這樣的膚淺言論:“我們用的是Macbook,所以躲過了一劫”或“我們不用CrowdStrike,謝天謝地!”“我們是中資企業,所以不受影響,哈哈哈。”要知道,今天出事的是網絡安全巨頭CrowdStrike,明天可能就是其他更拉垮的草臺班子。
現代IT環境是由各種軟件代理和廠商產品混合而成,單點故障幾乎不可避免。評估這種情況時,我們需要捫心自問:如果我的所有Windows服務器和終端都癱瘓了會怎樣?我們能轉向基于云的服務嗎?我們有其他可用的終端代理嗎?可以肯定的是,網絡犯罪分子已經看到了這次停機事件造成驚人損失,并在思考如何從中獲利(最常見的操作是冒充修復工具或漏洞補丁的網絡釣魚攻擊)。
4.檢查你的補丁管理流程
永遠不要在周末前或周末期間打補丁。在打補丁時,分階段進行,而不是批量更新。可以想象,全球數百萬IT支持人員會無法理解CrowdStrike這種頭部企業居然會忽視這些最基本的流程。
即使微軟和Crowdstrike發布了修復程序和指南,但手動修復方式對于管理成千上萬臺服務器/終端的IT團隊來說依然是一場噩夢。再加上大多數使用CrowdStrike的公司已經加密了他們的服務器(例如Bitlocker),這讓恢復工作的痛苦指數進一步上升。更不用說,基于云的服務器不能簡單地進入安全模式進行修復;你必須分離存儲,修復它,然后重新連接。這將是對公司災難恢復流程的巨大考驗。幸運的是,已經有許多可用的自動化腳本發布,大大提高恢復流程的效率。
如果你所在的(網絡安全)公司經常發布補丁,現在是重新評估補丁管理實踐的好時機!永遠不要在周末打補丁,如果必須這樣做,請采用分階段的灰度更新方法,確保能隨時回滾到安全狀態。
5.重新審視你的軟件供應鏈
軟件供應鏈是網絡安全最大的盲點之一,業界對開源代碼或網絡安全企業自身的產品安全往往重視不足。事實上,沒有任何軟件是100%從頭開始制作的,大多是各種軟件代碼庫和依賴關系的混合體。即使你無法剔除這些依賴關系,至少可以深入了解你所擁有的代碼資產及其風險狀況。
要知道,與監控并掌管全球數億設備的EDR/XDR軟件市場相比,Crowdstrike事件只是冰山一角。此外,開源供應鏈攻擊和AI大模型數據泄漏的規模和損失可能會超出你的想象,任何企業,無論是軟件供應鏈的上游還是下游企業,都需要為此類風險做好預案和防御措施。
