身為洛杉磯網路犯罪小組的前聯邦調查局特工,我看過很多有缺陷的軟體更新。然而,最近因 CrowdStrike 軟體更新錯誤而導致的全球技術中斷確實引起了全世界的關注。如此一家備受推崇的網路安全供應商引發重大安全事件,令人震驚和敬畏,這暴露了先前被忽視的第三方風險領域。
鑑於 CrowdStrike 的聲譽和值得信賴的地位,許多公司自動允許其軟體更新包進入其係統,而沒有充分考慮缺陷的可能性。因此,沒有 CISO 預計更新會導致全球技術中斷,從而導致互連系統的系統性中斷。
CrowdStrike 事件的後果對銀行、醫院、零售商和航空公司來說尤其嚴重。
有趣的是,據報道,一些擁有過時系統的公司沒有受到有缺陷的更新的影響,而其他擁有一流系統的公司卻遭遇了幾天或更長時間的停機。這並不是一些文章所暗示的舊技術與新技術的故事。相反,這是一個令人傷腦筋的故事,認為需要一種基於風險的方法來最大限度地減少有缺陷的軟體更新的可能性和影響。
了解你的供應商
CrowdStrike 因其自動更新過程而受到批評,並且沒有錯開或分階段發布以限制大規模破壞的可能性。然而,該公司並不是唯一採取這種做法的公司:為了保護客戶免受新發現的網路威脅,許多其他安全供應商也自動提供即時更新。
儘管 CrowdStrike 的更新存在缺陷,但該事件仍然凸顯了在整個 IT 系統環境中平衡創新與更勤奮的第三方供應商管理之間的重要性。我們提醒 CISO 透過與整個組織內的技術同行合作並與公司的第三方供應商建立牢固的合作夥伴關係來促進安全創新。這兩個優先事項並不互相排斥;相反,它們是交織在一起的。
與技術同行合作可以提供更好的方法來理解、最小化和緩解風險,確保公司能夠繼續創新,而不會增加企業的網路風險。與關鍵第三方供應商的合作夥伴關係可以更好地保證供應商準備好在下一次意外中斷發生時做出大規模回應。了解哪些供應商分佈在大部分企業基礎設施和生產環境(尤其是那些定期更新的環境)中可以優化用新版本和改進版本替換軟體的過程。
控制未知
CrowdStrike 的自動即時更新使這些流程更加清晰。雖然即時更新使系統能夠快速識別和消除威脅,但它們也存在觸發整個系統中斷和隨之而來的業務中斷的風險。另一方面,延遲一兩天的更新可能意味著立即錯過「最新和最好的」功能,但它允許我們有時間首先識別和解決潛在的缺陷。這裡的重點是,這兩種更新都不是更好,而是服務於特定的需求和目的。
為了從安全角度確定哪種更新最好,CISO 需要確定哪些系統需要即時更新,哪些系統可以允許延遲更新。面向外部的高風險系統可能需要近乎即時的更新,以幫助識別和阻止零時差攻擊。較低風險的系統放置在基礎設施的更深處,它們之間有額外的安全層,並且可以將外部攻擊配置為延遲4、8 或24 小時的軟體更新,讓更新在更新更關鍵的系統之前先進行烘焙。
最重要的是,網路安全供應商發布的錯誤更新也有力地提醒我們需要千方百計地管理第三方供應商。應要求所有供應商接受持續的法律、業務和技術審查以及獨立審計。
CISO 必須要求定期確認其網路安全認證以及 SOC 2 和 ISO 27001 合規性,並尋求支持證據,確認他們已修補引用的漏洞或實施全面更新。
事件的另一個要點是分散式網路安全管理相對於集中式模型的比較價值。集中式方法被認為可以在安全協定和威脅偵測方面提供更高的一致性,但缺點是,當中央伺服器受到攻擊時,與其連接的技術就會跟著崩潰。
另一方面,去中心化的方法使得駭客入侵整個平台變得更具挑戰性。透過將資料分佈在許多連接點上,如果一個點被駭客攻擊或更新有缺陷,船的其餘部分將繼續前進,從而提高組織的彈性。然而,權力下放本身並不是萬靈藥。資訊安全團隊仍需要優先考慮關鍵任務系統和軟體,以便相應地指導相關的風險評估和修復。
CrowdStrike 事件的高知名度為CISO 提供了一個寶貴的機會,讓他們可以從他人的不幸中學習、與技術領導團隊的同行合作,並與企業供應商合作,以便在未來面臨類似事件時做好更好的準備和做出更好的回應。
我們列出了最好的網路監控工具。
本文是 TechRadarPro 專家見解頻道的一部分,我們在該頻道中匯集了當今科技業最優秀、最聰明的人才。本文所表達的觀點僅代表作者的觀點,不一定代表 TechRadarPro 或 Future plc 的觀點。如果您有興趣貢獻,請在此處了解更多資訊: https://www.techradar.com/news/submit-your-story-to-techradar-pro