在此次由CrowdStrike更新故障事件中,據微軟統計顯示約有850萬臺Windows設備受到影響。更是有專家指出,由于系統崩潰致使部分設備可能需要進行完全重置甚至是更換,這將導致所屬企業將付出大量額外的資金投入和業務中斷時間。
此次事件不僅導致了全球范圍內的企業業務中斷,還令這些企業的運營和經濟蒙受了巨大損失。同時,這也將給全球經濟和網絡安全行業帶來巨大深遠的影響。
禍起CrowdStrike
頗受關注的是,此次事件并非是黑客或惡意網絡攻擊所為,而是安全供應商CrowdStrike的一次錯誤所導致,不過其殺傷力和影響范圍卻遠超大多數的惡意網絡攻擊。
CrowdStrike作為全球知名的網絡安全供應商,服務于眾多企業和政府機構。然而,正是由于CrowdStrike服務的廣泛性和單一性,使得其一次失誤就引發了全球性的連鎖反應。這不得不令人擔憂,也促使企業需要更加靈活與可靠的安全解決方案來防護未知風險。
雖然事故調查結果被認為源于CrowdStrike發布的軟件更新與Windows系統的交互方式沖突而讓系統崩潰,但因此而發酵的惡意網絡攻擊再度趁火打劫,擴大了此次事件的不利影響。
Akamai針對這次事件深入分析了當前活躍的詐騙類型,結果表明惡意攻擊者正在借勢發起網絡詐騙。威脅行為者將此事件視為進行社會工程學的絕佳機會——他們迅速建立了針對受影響的CrowdStrike客戶的詐騙網站,以竊取信息并傳播惡意軟件。
Akamai通過分析在全球邊緣網絡上看到的數據,確定了圍繞此事件用于詐騙的頂級惡意域名。從圖1中可以看出這種威脅涵蓋了各個領域,包括擦除器、竊取程序和遠程訪問工具(RAT)。
Akamai發現,受此次事件影響嚴重的一些行業往往不是傳統網絡攻擊的重點目標,尤其是教育和公共部門,這一點令人驚訝。盡管我們已經習慣于看到高科技和金融服務業首當其沖地受到零日攻擊,但非營利組織和教育部門以及公共部門(占比超過29%)在本次事件中卻格外突出。
在CrowdStrike故障發生后,Akamai注意到有多個域名被盜用,這些域名包含“crowdstrike”字樣,這些域名聲稱會為聯系他們的受害者提供技術支持。此類詐騙網站會偽裝成IT專業人員,可以幫助受害者快速恢復。這可能會誘使訪問者提供個人信息,這也是網絡釣魚的常見特征,其目的是直接向用戶竊取敏感信息。
有行業分析師就表示,這將是目前為止最大的IT中斷事件,并且質疑道,對企業運營至關重要的軟件控制權是否應該只掌握在少數幾家公司手中。
此次事件還引發了人們更多的擔憂,很多組織在IT系統等單點故障發生時,沒有提前做好充分的應急計劃和方案,過度依賴于一家服務供應商或單一方案。在風險來臨之際,由于沒有更多應急措施或者其他選擇,故障和中斷就會不可避免地將再次發生。
一些應對建議
盡管CrowdStrike在故障發生后作出了一系列技術和非技術性的應對措施,但卻并未能完全有效地緩解事件帶來的負面影響,尚有一部分用戶的設備仍處在待恢復狀態。
Akamai大中華區解決方案技術經理 馬俊
Akamai大中華區解決方案技術經理馬俊表示,在所有設備修復之后,我們很可能會看到更多與此問題相關的網絡釣魚嘗試。只需瀏覽社交媒體,攻擊者就能知道哪些品牌能激起最強烈的情緒,哪些品牌很容易被冒充以牟取惡意利益。
惡意攻擊活動的運作方式與我們在企業中運作的方式一樣:受害者是他們的“客戶”,攻擊者與客戶的聯系緊密,他們知道如何有效地分散投資組合,以確保最終獲取不法利益。
值得注意的是,由于此次事件的公開性,攻擊者現在對某些目標的技術堆棧有了更好的了解。如果未來在CrowdStrikeFalcon產品中發現CVE(公開發布的軟件漏洞),這可能會變得很重要。攻擊者只會變得更加老練,他們擁有的技術堆棧拼圖的每一塊額外碎片都會讓這個難題更容易解決。
對于如何降低此次事件帶來的影響,馬俊建議道,處理此事件影響的安全專業人員可以采取一些方法來幫助補救并限制進一步的信息暴露。
• 執行橫向移動差距分析與對手模擬:鑒于威脅者可能利用非CVE漏洞的機會,特別是當他們深入了解企業安全堆棧的關鍵部分時,勒索軟件的投放風險顯著增加。為了全面評估并應對當前的威脅形勢,我們強烈建議執行橫向移動差距分析,甚至進行對手模擬。這些措施能幫助企業識別潛在的弱點,并提前制定應對策略。
• 阻止已知及相關的IOC(指標物):針對此次安全事件,已有多個可靠的情報來源提供了相關信息,包括我們整理的這份IOC列表。如果企業的風險管理分析與這份列表相符,建議立即采取行動,直接阻止這些惡意域名,并考慮利用DNS層面的防御措施(如DNS過濾或漏洞防護),以有效阻斷與這些惡意域名的任何通信,從而保護企業的系統免受進一步侵害。
終端安全市場的變數
此次事件暴露的不僅是技術問題,也提醒網絡安全供應商應該嚴格遵守安全原則,以防止類似事件的發生;另一方面,也讓企業考慮重新選擇安全軟件時多元化解決方案的重要性。
有企業就表示,經歷此次事件后,他們對現有單一網絡安全解決方案的可靠性產生了嚴重的懷疑和不安全感。這種信任危機可能促使企業重新評估其網絡安全策略,并更加謹慎地選擇供應商,減少對單一供應商的依賴,轉而采用分散采購安全產品的多重防御策略,以降低類似事件對企業運營的影響。
盡管我們現在還不能完全評估此次事件對企業的經濟影響有多大,但可能的趨勢是,終端安全市場從過去的技術導向轉變為技術和服務多元化。對于企業而言,類似CrowdStrike這樣強調技術能力的供應商,在出現錯誤時對網絡安全的威脅也同樣是很強的。所以出現故障能否迅速修復,能否提供及時提供服務尋找最佳的解決方案,這與技術能力同樣重要。
終端安全作為網絡安全的最后一道防線,面臨的攻擊面非常多,因此需要形成多維度的防護,包括終端的物理安全、網絡訪問控制、數據風險檢測、惡意威脅檢測、安全事件分析、服務響應處置等多方面。這些問題如果交與單一供應商來做,就會形成企業和技術的過度集中,這也是導致此次事件發生的邏輯必然性。
這次事件再次提醒我們,終端安全市場的健康發展需要多元化的競爭格局,減少對單一供應商的過度依賴,以避免因單一供應商的失誤對企業甚至是行業造成毀滅性打擊。
