什麼樣的事故可以一次拿下航空、銀行、醫院、傳播媒體?
CrowdStrike 2024/07/18的更新導致全球電腦當機並顯示BSOD的情況。該EDR更新影響了航空、機場、銀行、醫院、大眾運輸、零售商等。史無前例的循環當機使全球各地 Microsoft 用戶都無法恢復上線工作。相較於針對性的勒索軟體,這次的破壞規模與範圍是遠遠超過的。
推測軍事單位應該會好好研究這一事件。第一,這次受影響的是關鍵基礎設施 ,足以癱瘓數個國家的民生運作。有什麼樣的攻擊可以一次癱瘓航空、銀行、醫院、傳播媒體? 第二,這次事件的樣板,可能發展成進攻技巧或防禦技術?
依照官方的聲明由RCA(Root cause analyzing)分析出的事故主因,是參數欄位多了一欄(20-21),導致Driver 在核心內存取不恰當記憶體。不過令人納悶的是,這顯然在QA、QC 階段就應該被發現,或者更新前驗證就應該被發現。
另外一個困擾是作業系統在發生BSOD之後,即便重開了數次,並沒有暫停在開機選項,而需要手動啟用。這增加了IT人員鍵盤前排除問題的複雜度。
有些文章討論此次事件,對於作業系統跟EDR誰更應該負起責任,各自有所主張,連歐盟法規都被抬出來,該法規強制作業系統必須給軟體供應商足夠權限(透明度,本次事件的核心執行模式)。然而,將事件歸咎於歐盟法規是一種誤導。核心問題是更新的驗證把關流程有缺陷,而不是監管法規環境。軟體供應商負責確保其更新的品質和可靠性,強固的測試和品保流程以防止此類的問題。未能在部署前充分測試其更新,這應是造成服務中斷的真正原因,而不是歐盟推動更加開放和競爭性的市場。
如果說EDR 更新時產生了一個錯誤導致BSOD,那麼作業系統的恢復能力差造成反覆BSOD螺旋。任何導致啟動時反覆失敗的軟體,都不應再自動重新載入該模組吧? 正是作業系統的行為導致了反覆的系統性故障。
被利用的零信任
軟體的更新是善意的,旨在提高對網路攻擊的保護。但是,插入到軟體更新中的惡意軟體也是駭客滲透公司系統的方式之一。 供應鏈攻擊和利用可信軟體的威脅越來越大,一是軟體服務供應商的信任,二是軟體自動化更新的信任。
然而,公司為避免中斷而採取的措施可能是極為有限的。軟體供應商及其多層軟體物料清單 (SBOM) 中,雖然不同元件的可見性是重要的追蹤基礎。但用戶知道他們軟體依賴於知名供應商,會選擇潛在信任而列入輕度風險。再加上這次事件的自動更新並沒能讓IT管理機制介入,沒有緩衝驗證之後再上線機會。
我們得到什麼教訓?企業組織如何應對?
我們先得認清一些事實,首先一百分的防禦,事先預防事故發生並不太可能。第二是要能夠管理好軟體供應商,組職自身與供應商具備的條件匹配並不容易,大部分只能接受風險。與其如此,著眼在事故後立即恢復運作,比防止發生來的實際。
假設事故是不可避免的
組織必須認知到,網路安全事故不是“是否”的問題,而是“何時”的問題。在和平時要為最壞的情況做好準備。確保迅速恢復和盡量減少工作干擾才是重要關鍵。這包括定期進行資產清查,包括第三方資產,以全面了解系統內的潛在漏洞。持續的威脅暴露管理也可確保組織在識別和減輕風險方面,保持警惕並積極主動。
- 常規化威脅檢測
應優先考慮定期和嚴格的檢測,包括可能的紅隊攻擊測試。這種主動的方法有助於常規識別漏洞盲點,並有機會在事件發生之前加強防禦。 - 內部更新流程控制
加強內部控制和流程是關鍵。在全面發佈更新之前,對軟體更新進行全面測試和驗證對於維護功能性、穩定性和安全性是必要的。但在這個案例中,軟體供應商似乎難以達成。 - 供應商品質和可靠性追蹤
選擇具有提供優質、可靠產品和服務歷史的供應商。確保供應商必須遵循嚴格的品質管理程序,並致力於持續改進,以保障軟體供應鏈的完整性。 - 透明度
通過建立資訊共用平臺,促進即時溝通和協調風險管理,提高供應鏈的可見性。 - 技術審查和測試
對新技術和第三方更新實施徹底的審查和測試程式,以保證其穩定性和安全性,從而防止將新的風險引入系統。 - 多樣化技術生態系統
依賴多個供應商和系統可以分散依賴關係,減少任何單點故障的影響,並彌補單一供應商的技術缺陷。 - 敏捷事件回應
預設一定會發生安全事件,組織應該在事件回應中保持敏捷。制定一個深思熟慮的計劃並定期演練,可以最大限度的減少安全事件的衝擊。 - Business Continuity Plans (BCP)
鑒於組織用戶與供應商規模,可能有地位懸殊的不對稱,在供應鏈管理上可能處於不利條件之下。要求供應鏈提供的檢驗、自律或提供共享資訊,一般用戶可能都無能為力。這時業務連續性計劃 (BCP)顯示出其價值。定期演練與持續練習( Continuity Training and Exercises , TTX) 這些計劃可以確保在面對意外中斷時做好準備和復原力。例如,POS機無法運作,該用什麼方法結帳? 登機櫃台當機要如何辦理登機?
在數位時代,網路安全不是可有可無的附加元件,而是維持業務營運的必要條件。優先考慮安全性和彈性的組織不僅可以保護自己,還可以利用這些功能來增強其運營能力,並在面對挑戰時變得有韌性。