小编今天上班路上刷抖音的时候,关注到了@红衣大叔周鸿祎发布的一条新的小视频。在视频中红衣大叔对CrowdStrike引起的微软蓝屏导致全球电脑瘫痪的这一事件究竟是事故还是一场网络攻击提出了2大质疑:
当前软件系统更新要造成windows系统蓝屏是非常不容易的一件事,这个涉及到windows底层核心代码,代码权限非常高,这种代码是安全公司最重要的保密的核心代码,代码数量不大,但是影响非常大,一般情况不轻易做更新,普通员工也接触不到。
系统更新有一套完整的流程,需要做全面的测试才能进行更新。本次事件造成全球数百万台电脑出现蓝屏,蓝屏比例相当高,可见这并不是个小概率事件。CrowdStrike在发布更新之前应该没有进行全面测试,不然不会发现不了这个问题。此外,凡是重大的更新,一般是有严格的更新计划的,用1-2个月的时间边更新边观察是否有问题,一有问题随时叫停,不会全球一下子全部更新,致使出现这样大规模事件发生。
基于以上质疑,红衣大叔提出,这次可能不是一场事故而是一场针对windows系统供应链的网络攻击。
PS:以上内容小编对红衣大叔视频的内容的提炼。由于一些心知肚明的原因,视频原文不方便转发,有兴趣的同学可以到抖音关注@红衣大叔周鸿祎的视频了解更多内容。
确实,按照正常的逻辑来看本次事件存在诸多不合逻辑的地方。虽然,目前国内受到问题影响比较小,但是本次事件也同样需要引起我们足够的重视,从中吸取一些经验和教训。
以下2点思考,希望可以帮助到大家。
当前很多网络安全建设案例中,业主单位往往都倾向于大量购买网络安全设备,做好边界防护、做好主机防护、做好终端防护等。但这中间有个问题往往容易被忽视,那就是供应链安全。
以本次事件为例,作为全球最顶尖的IT公司微软所推出的windows都不可避免出现安全漏洞,更何况我们常用的业务软件,即便它经过非常正规的测试,通过国家等级保护评定。这些业务系统就不存在问题?
想象一下,我们医疗行业有多少个医院用的都是同一版本的电子病历系统、同一版本HIS系统,我们教育行业用有多少个学校用的都是同一版本教务系统,一旦这些系统漏洞被发现并利用,那么造成的影响之巨大毋庸置疑。
那么供应链安全的问题如何解决呢?小编整理了一个清单供大家参考:
贵单位IT资产(包括软件和硬件)的引进是否有一个严格的流程?在资产采购前有提出明确的信息安全的要求?资产上线前是否有经过信息安全评估?
贵单位IT资产(包括软件和硬件)是否有建立清晰的资产指纹清单,并有专人进行维护和更新?是否有定期对IT资产(包括软件和硬件)进行风险评估和问题修复?
针对通用型IT资产(如操作系统、办公软件等)一般都有专门的威胁情报来源,但是针对专有型IT资产(如电子病历系统之类的行业软件等)贵单位是否有专门的情报来源?是否有协同防御圈子?
信息安全领域,很多时候管理要比技术来得重要。当前很多事件的发生往往不是因为攻击者采取了什么高精尖的攻击技术,而是用户的管理上出现问题。
以本次事件为例,作为用户单位,CrowdStrike的软件需要更新,就让他自动更新?全面更新之前不能先局部更新测试验证一下的吗?
这些都是常见的系统维护管理方面的问题,在此小编也整理了一个清单供大家参考:
贵单位针对系统的有风险的操作(如更新、升级、打补丁等)安全策略是否有问题?是否有严格的流程进行管控?是否有测试验证环境?系统更新之前是否有经过严格的验证并做好足够的应急预案和恢复方案?
贵单位给第三方维护人员的权限是否满足“最小必要原则”?第三方维护人员进行有风险操作过程是否有记录?是否会定期审查?
贵单位是否建立数据备份机制,及时对重要数据进行备份,并定期验证备份机制的有效性?
综上,就是小编的一些思考,希望对贵单位的信息安全管理有所帮助!
更多的信息和解决方案,请不吝来电咨询!