在此次由CrowdStrike更新故障事件中,据微软统计显示约有850万台Windows设备受到影响。更是有专家指出,由于系统崩溃致使部分设备可能需要进行完全重置甚至是更换,这将导致所属企业将付出大量额外的资金投入和业务中断时间。
此次事件不仅导致了全球范围内的企业业务中断,还令这些企业的运营和经济蒙受了巨大损失。同时,这也将给全球经济和网络安全行业带来巨大深远的影响。
祸起CrowdStrike
颇受关注的是,此次事件并非是黑客或恶意网络攻击所为,而是安全供应商CrowdStrike的一次错误所导致,不过其杀伤力和影响范围却远超大多数的恶意网络攻击。
CrowdStrike作为全球知名的网络安全供应商,服务于众多企业和政府机构。然而,正是由于CrowdStrike服务的广泛性和单一性,使得其一次失误就引发了全球性的连锁反应。这不得不令人担忧,也促使企业需要更加灵活与可靠的安全解决方案来防护未知风险。
虽然事故调查结果被认为源于CrowdStrike发布的软件更新与Windows系统的交互方式冲突而让系统崩溃,但因此而发酵的恶意网络攻击再度趁火打劫,扩大了此次事件的不利影响。
Akamai针对这次事件深入分析了当前活跃的诈骗类型,结果表明恶意攻击者正在借势发起网络诈骗。威胁行为者将此事件视为进行社会工程学的绝佳机会——他们迅速建立了针对受影响的CrowdStrike客户的诈骗网站,以窃取信息并传播恶意软件。
Akamai通过分析在全球边缘网络上看到的数据,确定了围绕此事件用于诈骗的顶级恶意域名。从图1中可以看出这种威胁涵盖了各个领域,包括擦除器、窃取程序和远程访问工具(RAT)。
Akamai发现,受此次事件影响严重的一些行业往往不是传统网络攻击的重点目标,尤其是教育和公共部门,这一点令人惊讶。尽管我们已经习惯于看到高科技和金融服务业首当其冲地受到零日攻击,但非营利组织和教育部门以及公共部门(占比超过29%)在本次事件中却格外突出。
在CrowdStrike故障发生后,Akamai注意到有多个域名被盗用,这些域名包含“crowdstrike”字样,这些域名声称会为联系他们的受害者提供技术支持。此类诈骗网站会伪装成IT专业人员,可以帮助受害者快速恢复。这可能会诱使访问者提供个人信息,这也是网络钓鱼的常见特征,其目的是直接向用户窃取敏感信息。
有行业分析师就表示,这将是目前为止最大的IT中断事件,并且质疑道,对企业运营至关重要的软件控制权是否应该只掌握在少数几家公司手中。
此次事件还引发了人们更多的担忧,很多组织在IT系统等单点故障发生时,没有提前做好充分的应急计划和方案,过度依赖于一家服务供应商或单一方案。在风险来临之际,由于没有更多应急措施或者其他选择,故障和中断就会不可避免地将再次发生。
一些应对建议
尽管CrowdStrike在故障发生后作出了一系列技术和非技术性的应对措施,但却并未能完全有效地缓解事件带来的负面影响,尚有一部分用户的设备仍处在待恢复状态。
Akamai大中华区解决方案技术经理 马俊
Akamai大中华区解决方案技术经理马俊表示,在所有设备修复之后,我们很可能会看到更多与此问题相关的网络钓鱼尝试。只需浏览社交媒体,攻击者就能知道哪些品牌能激起最强烈的情绪,哪些品牌很容易被冒充以牟取恶意利益。
恶意攻击活动的运作方式与我们在企业中运作的方式一样:受害者是他们的“客户”,攻击者与客户的联系紧密,他们知道如何有效地分散投资组合,以确保最终获取不法利益。
值得注意的是,由于此次事件的公开性,攻击者现在对某些目标的技术堆栈有了更好的了解。如果未来在CrowdStrikeFalcon产品中发现CVE(公开发布的软件漏洞),这可能会变得很重要。攻击者只会变得更加老练,他们拥有的技术堆栈拼图的每一块额外碎片都会让这个难题更容易解决。
对于如何降低此次事件带来的影响,马俊建议道,处理此事件影响的安全专业人员可以采取一些方法来帮助补救并限制进一步的信息暴露。
• 执行横向移动差距分析与对手模拟:鉴于威胁者可能利用非CVE漏洞的机会,特别是当他们深入了解企业安全堆栈的关键部分时,勒索软件的投放风险显著增加。为了全面评估并应对当前的威胁形势,我们强烈建议执行横向移动差距分析,甚至进行对手模拟。这些措施能帮助企业识别潜在的弱点,并提前制定应对策略。
• 阻止已知及相关的IOC(指标物):针对此次安全事件,已有多个可靠的情报来源提供了相关信息,包括我们整理的这份IOC列表。如果企业的风险管理分析与这份列表相符,建议立即采取行动,直接阻止这些恶意域名,并考虑利用DNS层面的防御措施(如DNS过滤或漏洞防护),以有效阻断与这些恶意域名的任何通信,从而保护企业的系统免受进一步侵害。
终端安全市场的变数
此次事件暴露的不仅是技术问题,也提醒网络安全供应商应该严格遵守安全原则,以防止类似事件的发生;另一方面,也让企业考虑重新选择安全软件时多元化解决方案的重要性。
有企业就表示,经历此次事件后,他们对现有单一网络安全解决方案的可靠性产生了严重的怀疑和不安全感。这种信任危机可能促使企业重新评估其网络安全策略,并更加谨慎地选择供应商,减少对单一供应商的依赖,转而采用分散采购安全产品的多重防御策略,以降低类似事件对企业运营的影响。
尽管我们现在还不能完全评估此次事件对企业的经济影响有多大,但可能的趋势是,终端安全市场从过去的技术导向转变为技术和服务多元化。对于企业而言,类似CrowdStrike这样强调技术能力的供应商,在出现错误时对网络安全的威胁也同样是很强的。所以出现故障能否迅速修复,能否提供及时提供服务寻找最佳的解决方案,这与技术能力同样重要。
终端安全作为网络安全的最后一道防线,面临的攻击面非常多,因此需要形成多维度的防护,包括终端的物理安全、网络访问控制、数据风险检测、恶意威胁检测、安全事件分析、服务响应处置等多方面。这些问题如果交与单一供应商来做,就会形成企业和技术的过度集中,这也是导致此次事件发生的逻辑必然性。
这次事件再次提醒我们,终端安全市场的健康发展需要多元化的竞争格局,减少对单一供应商的过度依赖,以避免因单一供应商的失误对企业甚至是行业造成毁灭性打击。
