Как бывший специальный агент ФБР в отделе по борьбе с киберпреступностью Лос-Анджелеса, я видел свою долю обновлений программного обеспечения с ошибками. Однако недавний глобальный сбой в работе технологий, вызванный ошибочным обновлением программного обеспечения от CrowdStrike, привлек внимание всего мира. Шок и тревога по поводу того, что такой авторитетный поставщик кибербезопасности стал причиной серьезного инцидента безопасности, выявили ранее упускаемую из виду область риска третьих сторон.
Учитывая репутацию и доверие CrowdStrike, многие компании автоматически включили пакет обновлений программного обеспечения в свои системы, не принимая во внимание возможность возникновения дефекта. В результате ни один директор по информационной безопасности не ожидал, что обновление приведет к глобальному техническому сбою и вызовет системные сбои во взаимосвязанных системах.
Последствия инцидента CrowdStrike оказались особенно серьезными для банков, больниц, розничных торговцев и авиакомпаний.
Интересно, что некоторые компании с устаревшими системами не пострадали от ошибочного обновления, в то время как другие с системами премиум-класса столкнулись с перебоями в работе, продолжавшимися несколько дней или дольше. Это не история противостояния старых технологий новым технологиям, как предполагают некоторые статьи. Скорее, это резкая история, которая доказывает необходимость подхода, основанного на оценке рисков, чтобы минимизировать возможность и влияние ошибочного обновления программного обеспечения.
Знай своего продавца
CrowdStrike подвергся критике из-за автоматического процесса обновления и отсутствия поэтапного или поэтапного выпуска, чтобы ограничить вероятность широкомасштабных сбоев. Однако компания не одинока в своем подходе: многие другие поставщики услуг безопасности также предоставляют автоматические обновления в режиме реального времени, чтобы защитить своих клиентов от вновь обнаруженных киберугроз.
Хотя обновление CrowdStrike было ошибочным, этот инцидент по-прежнему подчеркивает важность баланса между инновациями в сфере ИТ-систем и более тщательным управлением сторонними поставщиками. Напоминаем директорам по информационной безопасности о необходимости стимулировать безопасные инновации, сотрудничая со своими технологическими коллегами во всей организации и налаживая прочные партнерские отношения со сторонними поставщиками организации. Эти два приоритета не исключают друг друга, а переплетаются.
Сотрудничая с коллегами-технологами, можно лучше понять, свести к минимуму и смягчить риски. Это позволяет компании продолжать внедрять инновации, не увеличивая киберрисков для компании. Партнерство с ключевыми сторонними поставщиками обеспечивает большую уверенность в том, что поставщики готовы отреагировать в масштабе, когда произойдет следующий неожиданный сбой. Знание того, какие поставщики распределены по значительной части инфраструктуры и производственных сред компании (особенно тех, которые регулярно обновляются), может упростить процессы замены программного обеспечения новыми и улучшенными версиями.
Контролируя неизвестное
Автоматические обновления CrowdStrike в режиме реального времени сделали эти процессы более четкими. Хотя мгновенные обновления позволяют системам быстро выявлять и нейтрализовать угрозы, они также создают риск полного сбоя системы и, как следствие, нарушения бизнеса. С другой стороны, задержка обновлений на день или два может означать немедленную потерю «последних и лучших» функций, но есть время сначала выявить и исправить потенциальные недостатки. Дело в том, что не одно из них лучше, а то, что оба обновления служат конкретным потребностям и целям.
Чтобы определить, какое обновление лучше всего с точки зрения безопасности, директора по информационной безопасности должны определить, какие системы требуют обновлений в реальном времени, а какие допускают обновления с задержкой. Внешним системам высокого риска могут потребоваться обновления практически в реальном времени, чтобы помочь идентифицировать и блокировать атаки нулевого дня. Системы с низким уровнем риска, которые расположены глубже в инфраструктуре и имеют дополнительные уровни безопасности между ними и внешними атаками, могут быть настроены на задержку обновлений программного обеспечения на 4, 8 или 24 часа, что дает обновлениям некоторое время для внедрения, прежде чем более важные системы будут внедрены. обновлено.
Некорректное обновление, выпущенное поставщиком кибербезопасности, также является ярким напоминанием о том, что стороннее управление не может быть скомпрометировано. Все поставщики должны проходить постоянные юридические, деловые и технологические проверки, а также независимые аудиты.
Директора по информационной безопасности должны регулярно запрашивать подтверждение своих сертификатов кибербезопасности и соответствия SOC 2 и ISO 27001, а также получать доказательства того, что они исправили указанную уязвимость или внедрили крупное обновление.
Еще одним результатом инцидента является относительная ценность децентрализованного управления сетевой безопасностью по сравнению с централизованной моделью. Централизованный подход рекламируется за большую согласованность протоколов безопасности и обнаружения угроз, но у него есть обратная сторона: если центральный сервер будет скомпрометирован, связанные с ним технологии также выйдут из строя.
С другой стороны, децентрализованный подход затрудняет хакерам возможность взлома всей платформы. Благодаря распределению данных по множеству точек подключения, если одна точка будет взломана или повреждено обновление, остальная часть корабля сможет продолжить плавание, что повысит устойчивость организации. Однако децентрализация сама по себе не является панацеей. Команды информационной безопасности должны продолжать уделять первоочередное внимание критически важным системам и программному обеспечению, что определяет соответствующую оценку рисков и меры по устранению.
Высокий уровень внимания, который привлек инцидент CrowdStrike, дает директорам по информационной безопасности ценную возможность учиться на неудачах других, сотрудничать с коллегами из руководящих групп технологической отрасли и сотрудничать с корпоративными поставщиками, чтобы лучше подготовиться и лучше реагировать на подобные события в будущем. .
Мы перечислили лучшие инструменты мониторинга сети.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы демонстрируем лучшие и самые яркие умы в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
