用 ISO 标准抵御“蓝屏”风险,分析 CrowdStrike 故障以制定未来保障措施

“蓝屏背后”,分析 CrowdStrike 故障以制定未来保障措施

2024 年 7 月 19 日美国网络安全公司 CrowdStrike 发布了一个错误的安全软件更新,导致大约 850 万台运行微软 Windows 系统的计算机崩溃,无法正常重启。成为有史以来第一个 “蓝屏星期五” 。

 

这次故障扰乱了世界各地的日常生活、企业和政府。许多行业都受到了影响,包括航空公司、机场、银行、酒店、医院、制造业、股市、广播、加油站、零售店等。包括像紧急服务和网站等政府服务也同样受到干扰。据估计,全球经济损失至少达 100 亿美元。虽然错误在几个小时之内被发现并发布了修复程序,但由于受影响的计算机必须手动修复,许多服务的中断仍在持续。这一事件被称为信息技术史上最大规模的故障,对经济和社会产生了广泛影响。

 

虽然 CrowdStrike 一再强调,这次事件并非恶意的网络攻击事件,但此次事件的影响并没有因为修复程序的问世而停止,影响仍持续发酵并为网络攻击者留下了可乘之机。

 

恐怖的连锁反应:

CrowdStrike 警告全球中断后的这些网络钓鱼和欺诈企图

在此次“蓝屏星期五”事件发生之后, CrowdStrike 发布了关于网络钓鱼和欺诈企图激增的警告。随着系统中断和服务中断,网络犯罪分子立即利用混乱发动了一波攻击。这些恶意攻击者正在利用中断造成的混乱和紧迫性来欺骗人们。网络钓鱼方法正在变得越来越复杂,即使是精通技术的个人也很难区分合法和欺诈性的信息。

 

CrowdStrike Intelligence 报告了这些恶意行为者采用的几种策略:

  • 网络钓鱼活动
    向客户发送冒充 CrowdStrike 支持的网络钓鱼电子邮件,试图诱骗客户泄露敏感信息或授予未经授权的访问;
  • 欺诈
    在电话中冒充 CrowdStrike 员工,可能旨在操纵受害者损害他们的安全;
  • 虚假信息
    冒充独立研究人员,谎称有证据表明技术问题与网络攻击有关,并提供补救建议;
  • 恶意软件
    销售声称可自动从内容更新问题中恢复的脚本,这可能会引入恶意软件或创建新的漏洞。

 

教训与反思:

作为软件服务商该如何进行变更管理?

 

根据 ISO/IEC 27002  附录 A 8.32 变更管理中要求,新系统的引入和现有系统的重大变更应遵循一致同意的规则和正式的文档、规范、测试、质量控制和管理实施流程。管理职责和程序应到位以确保所有变更得到适当的控制。

 

组织应记录并执行变更控制程序,以确保从早期设计阶段到所有后续维护工作的整个系统开发生命周期中,信息处理设施和信息系统中信息的机密性、完整性和可用性。只要可行,就应整合 ICT 基础设施和软件的变更控制程序。

 

变更程序应包括:

a)考虑所有依赖因素,规划和评估变更的潜在影响

CrowdStrike 在本次升级中,需要更改内核驱动文件,csagent.sys,此次变更会影响到 Windows OS,发布前未进行规划和评估变更的潜在影响(或者进行的不够充分,未识别到风险)。

 

b)变更授权

订阅用户(或组织)完全授权 CrowdStrike 可以直接变更并且立即生效,未识别到变更可能带来的风险。

 

c)向相关利益方传达变更

未将变更发布的事件及内容,以及可能造成的影响传递给相关方(包括订阅的用户(或组织))。

 

d)变更测试和测试验收(参见8.29)

CrowdStrike 公司未进行变更测试和验收;或不充分。订阅用户方(或组织),完全授权 CrowdStrike,可以直接变更,立即生效;自己未做测试。

 

e)实施变更,包括部署计划

未考虑到风险,直接全面部署变更,未采用基于风险的分批部署计划。

 

f)考虑紧急情况和意外情况,包括回退程序;

此次更新 CrowdStrike 似乎没有部署回退程序。

 

而在 ISO/IEC 20000-1 信息技术服务管理体系要求中也同样明确了变更管理要求。对于不成功的变更,组织应 “对于不成功变更的回退和补救活动应进行规划,如果可能进行测试,不成功的变更应进行调查并采取商定的行动。”

 

当难以预测的风险到来时企业如何快速应对突发事件?

 

企业可以通过适当的风险防御措施来降低企业被攻击的概率。但网络环境错综复杂相互联系,企业很难完全规避风险事件。与积极预防风险同等重要的,是企业应对突发事件的响应速度和效率,以及拥有结构化的方法将突发事件的损失降到能力范围内的最低。

 

ISO 22301 为企业以结构化的方式,明确了当突发事件发生时,企业应该如何反应从何避免将损失扩大。

 

ISO 22301:2019 是业务连续性管理体系(BCMS)的国际标准。它为组织提供了一个框架,用于规划、建立、实施、运营、监控、审查、维护和持续改进记录在案的管理体系,以防范、减少破坏性事件的可能性并确保从中断性事件中恢复。

 

ISO 22301 业务连续性管理体系

如何处理紧急情况

  1. 识别潜在风险
    ISO 22301 帮助组织识别可能导致紧急情况的潜在风险。
  2. 制定适当的策略
    一旦确定了风险,ISO 22301 就提供了一个结构化的框架,帮助组织制定适当的策略来应对这些风险。
  3. 建立系统化的应急准备和响应流程
    ISO 22301 为在组织内建立强大的事件响应结构奠定了基础。这包括为紧急情况做好准备、有效应对紧急情况以及从破坏性事件中恢复。
  4. 缩短恢复时间
    通过采用系统的方法处理紧急情况,组织可以缩短破坏性事件发生后的恢复时间。
  5. 增强组织复原力
    总体而言,ISO 22301 增强了组织对各种不可预见的中断的复原力,确保运营和服务的连续性。

 

对于公司来说,此次有史以来最大规模的信息技术故障不仅使人们意识到了网络安全的重要性,也使人们不得不意识到,危机或许并不是来自于恶意的攻击,很可能是一起难以预测和无法避免的变化事件。企业需要时刻以积极的姿态防范风险,定期培训员工意识,并在风险发生时迅速响应将风险控制从而降低企业损失。

 

 

DNV 管理体系认证与培训

在保护生命、财产和环境的宗旨的推动下,DNV 帮助组织在整个业务中提高安全性和可持续性。我们的起源可以追溯到 1864 年。如今,DNV 已成为世界领先的认证、保证和风险管理提供商之一。