在此次由CrowdStrike更新故障事件中,據(jù)微軟統(tǒng)計顯示約有850萬臺Windows設備受到影響。更是有專家指出,由于系統(tǒng)崩潰致使部分設備可能需要進行完全重置甚至是更換,這將導致所屬企業(yè)將付出大量額外的資金投入和業(yè)務中斷時間。
此次事件不僅導致了全球范圍內(nèi)的企業(yè)業(yè)務中斷,還令這些企業(yè)的運營和經(jīng)濟蒙受了巨大損失。同時,這也將給全球經(jīng)濟和網(wǎng)絡安全行業(yè)帶來巨大深遠的影響。
禍起CrowdStrike
頗受關注的是,此次事件并非是黑客或惡意網(wǎng)絡攻擊所為,而是安全供應商CrowdStrike的一次錯誤所導致,不過其殺傷力和影響范圍卻遠超大多數(shù)的惡意網(wǎng)絡攻擊。
CrowdStrike作為全球知名的網(wǎng)絡安全供應商,服務于眾多企業(yè)和政府機構。然而,正是由于CrowdStrike服務的廣泛性和單一性,使得其一次失誤就引發(fā)了全球性的連鎖反應。這不得不令人擔憂,也促使企業(yè)需要更加靈活與可靠的安全解決方案來防護未知風險。
雖然事故調(diào)查結(jié)果被認為源于CrowdStrike發(fā)布的軟件更新與Windows系統(tǒng)的交互方式?jīng)_突而讓系統(tǒng)崩潰,但因此而發(fā)酵的惡意網(wǎng)絡攻擊再度趁火打劫,擴大了此次事件的不利影響。
Akamai針對這次事件深入分析了當前活躍的詐騙類型,結(jié)果表明惡意攻擊者正在借勢發(fā)起網(wǎng)絡詐騙。威脅行為者將此事件視為進行社會工程學的絕佳機會——他們迅速建立了針對受影響的CrowdStrike客戶的詐騙網(wǎng)站,以竊取信息并傳播惡意軟件。
Akamai通過分析在全球邊緣網(wǎng)絡上看到的數(shù)據(jù),確定了圍繞此事件用于詐騙的頂級惡意域名。從圖1中可以看出這種威脅涵蓋了各個領域,包括擦除器、竊取程序和遠程訪問工具(RAT)。
Akamai發(fā)現(xiàn),受此次事件影響嚴重的一些行業(yè)往往不是傳統(tǒng)網(wǎng)絡攻擊的重點目標,尤其是教育和公共部門,這一點令人驚訝。盡管我們已經(jīng)習慣于看到高科技和金融服務業(yè)首當其沖地受到零日攻擊,但非營利組織和教育部門以及公共部門(占比超過29%)在本次事件中卻格外突出。
在CrowdStrike故障發(fā)生后,Akamai注意到有多個域名被盜用,這些域名包含“crowdstrike”字樣,這些域名聲稱會為聯(lián)系他們的受害者提供技術支持。此類詐騙網(wǎng)站會偽裝成IT專業(yè)人員,可以幫助受害者快速恢復。這可能會誘使訪問者提供個人信息,這也是網(wǎng)絡釣魚的常見特征,其目的是直接向用戶竊取敏感信息。
有行業(yè)分析師就表示,這將是目前為止最大的IT中斷事件,并且質(zhì)疑道,對企業(yè)運營至關重要的軟件控制權是否應該只掌握在少數(shù)幾家公司手中。
此次事件還引發(fā)了人們更多的擔憂,很多組織在IT系統(tǒng)等單點故障發(fā)生時,沒有提前做好充分的應急計劃和方案,過度依賴于一家服務供應商或單一方案。在風險來臨之際,由于沒有更多應急措施或者其他選擇,故障和中斷就會不可避免地將再次發(fā)生。
一些應對建議
盡管CrowdStrike在故障發(fā)生后作出了一系列技術和非技術性的應對措施,但卻并未能完全有效地緩解事件帶來的負面影響,尚有一部分用戶的設備仍處在待恢復狀態(tài)。
Akamai大中華區(qū)解決方案技術經(jīng)理 馬俊
Akamai大中華區(qū)解決方案技術經(jīng)理馬俊表示,在所有設備修復之后,我們很可能會看到更多與此問題相關的網(wǎng)絡釣魚嘗試。只需瀏覽社交媒體,攻擊者就能知道哪些品牌能激起最強烈的情緒,哪些品牌很容易被冒充以牟取惡意利益。
惡意攻擊活動的運作方式與我們在企業(yè)中運作的方式一樣:受害者是他們的“客戶”,攻擊者與客戶的聯(lián)系緊密,他們知道如何有效地分散投資組合,以確保最終獲取不法利益。
值得注意的是,由于此次事件的公開性,攻擊者現(xiàn)在對某些目標的技術堆棧有了更好的了解。如果未來在CrowdStrikeFalcon產(chǎn)品中發(fā)現(xiàn)CVE(公開發(fā)布的軟件漏洞),這可能會變得很重要。攻擊者只會變得更加老練,他們擁有的技術堆棧拼圖的每一塊額外碎片都會讓這個難題更容易解決。
對于如何降低此次事件帶來的影響,馬俊建議道,處理此事件影響的安全專業(yè)人員可以采取一些方法來幫助補救并限制進一步的信息暴露。
• 執(zhí)行橫向移動差距分析與對手模擬:鑒于威脅者可能利用非CVE漏洞的機會,特別是當他們深入了解企業(yè)安全堆棧的關鍵部分時,勒索軟件的投放風險顯著增加。為了全面評估并應對當前的威脅形勢,我們強烈建議執(zhí)行橫向移動差距分析,甚至進行對手模擬。這些措施能幫助企業(yè)識別潛在的弱點,并提前制定應對策略。
• 阻止已知及相關的IOC(指標物):針對此次安全事件,已有多個可靠的情報來源提供了相關信息,包括我們整理的這份IOC列表。如果企業(yè)的風險管理分析與這份列表相符,建議立即采取行動,直接阻止這些惡意域名,并考慮利用DNS層面的防御措施(如DNS過濾或漏洞防護),以有效阻斷與這些惡意域名的任何通信,從而保護企業(yè)的系統(tǒng)免受進一步侵害。
終端安全市場的變數(shù)
此次事件暴露的不僅是技術問題,也提醒網(wǎng)絡安全供應商應該嚴格遵守安全原則,以防止類似事件的發(fā)生;另一方面,也讓企業(yè)考慮重新選擇安全軟件時多元化解決方案的重要性。
有企業(yè)就表示,經(jīng)歷此次事件后,他們對現(xiàn)有單一網(wǎng)絡安全解決方案的可靠性產(chǎn)生了嚴重的懷疑和不安全感。這種信任危機可能促使企業(yè)重新評估其網(wǎng)絡安全策略,并更加謹慎地選擇供應商,減少對單一供應商的依賴,轉(zhuǎn)而采用分散采購安全產(chǎn)品的多重防御策略,以降低類似事件對企業(yè)運營的影響。
盡管我們現(xiàn)在還不能完全評估此次事件對企業(yè)的經(jīng)濟影響有多大,但可能的趨勢是,終端安全市場從過去的技術導向轉(zhuǎn)變?yōu)榧夹g和服務多元化。對于企業(yè)而言,類似CrowdStrike這樣強調(diào)技術能力的供應商,在出現(xiàn)錯誤時對網(wǎng)絡安全的威脅也同樣是很強的。所以出現(xiàn)故障能否迅速修復,能否提供及時提供服務尋找最佳的解決方案,這與技術能力同樣重要。
終端安全作為網(wǎng)絡安全的最后一道防線,面臨的攻擊面非常多,因此需要形成多維度的防護,包括終端的物理安全、網(wǎng)絡訪問控制、數(shù)據(jù)風險檢測、惡意威脅檢測、安全事件分析、服務響應處置等多方面。這些問題如果交與單一供應商來做,就會形成企業(yè)和技術的過度集中,這也是導致此次事件發(fā)生的邏輯必然性。
這次事件再次提醒我們,終端安全市場的健康發(fā)展需要多元化的競爭格局,減少對單一供應商的過度依賴,以避免因單一供應商的失誤對企業(yè)甚至是行業(yè)造成毀滅性打擊。
