网络安全警示：CrowdStrike 故障的启示

关键点总结

近期的 CrowdStrike 故障 再次提醒网络安全防御团队，全面测试与应急响应策略的重要性。作为实践者，我们的职责是预见、减轻和管理此类中断带来的影响。以下是从 CrowdStrike 事件 和相似事件如 2018年10月Microsoft Windows 10 更新中提炼出的一些重要措施与考虑因素。

CrowdStrike 的故障是由于内存扫描防护政策中的一个错误，导致使用 Falcon 传感器的 Windows 系统出现了广泛的性能问题。这个导致传感器消耗 100 CPU 核心的漏洞未能在标准测试程序中被发现。这一事件强调了全面测试的必要性以及快速有效的事件响应机制的关键需求。

立即采取的措施

启用组织的应急响应计划： 在发现类似的广泛问题时，应该立即激活组织的应急响应计划。确保所有团队成员清楚各自的角色和责任。此计划应包含沟通、减轻和解决的问题处理步骤。

与利益相关者沟通： 清晰透明地与受影响的利益相关者沟通至关重要。告知用户当前的问题、正在采取的解决步骤以及他们需要采取的行动。定期更新可以帮助管理预期并保持信任。

应用系统重启和补丁： 在 CrowdStrike 的故障中，主要的补救措施涉及系统重启。确保那些无法承受停机的关键系统被妥善管理。如果可能，规划在非高峰时段重启，并清晰沟通以最小化操作影响。

长期策略

采用增强的测试程序： 传统的测试方法可能无法发现复杂的漏洞。采取多层次的测试方法，包括沙箱测试。在一个能够贴近组织实时系统的受控环境中部署更新。同时，逐步向小范围用户发布更新，监测结果，并在出现问题时做好回滚准备。最后，鼓励来自早期使用者的反馈，以迅速识别和解决问题。

多样化公司的供应商策略： 过于依赖单一供应商可能会放大此类故障的影响。多样化你的网络安全解决方案，以减轻单点故障的风险。

定期开展培训和演练： 定期进行培训课程和模拟演练，以确保团队能够高效处理真实事件。这包括识别可能在重大干扰后出现的网络钓鱼尝试和社会工程攻击。

审查和更新安全政策： 事件发生后，审查所有安全政策和程序，识别事件暴露出的任何漏洞或弱点，并相应更新你的协议。

后续威胁

在像 CrowdStrike 这样的重大事件之后，通常会看到后续威胁的增加。攻击者通常利用初次中断造成的混乱和紧急情况，发起二次攻击。

这些后续威胁可能包括网络钓鱼和社会工程攻击，罪犯冒充受影响公司支持人员，试图欺骗用户提供敏感信息或安装恶意软件。举例来说，在 Microsoft 2018 年更新事件后，出现了大量关于网络钓鱼邮件和技术支持诈骗的报告。另一个威胁是虚假的更新通知，用户可能会收到下载“紧急”更新的提示，而这些其实是恶意软件。确保用户仅从官方渠道下载更新至关重要。此外，攻击者可能会增加扫描活动，以识别仍然脆弱或未正确打补丁的系统。

从 Microsoft 2018 年事件中可以看出，CrowdStrike 将面临重大的声誉损失和客户信任问题。Microsoft 不得不停下更新，其中包括为一些用户恢复丢失的文件。类似地，CrowdStrike 将需要投入大量资源进行补救和重建信任。

CrowdStrike 故障提醒我们网络安全的复杂性