Nuo penktadienio organizacijoms sunkiai sekasi pradėti savo veiklą po to, kai saugumo tiekėjo CrowdStrike programinės įrangos atnaujinimas sukėlė „mėlynųjų mirties ekranų“ epidemiją visame pasaulyje, paprastai vadinamą „Windows“ naudotojų mirties ekranu.
Pirmadienį pasaulinė technologijų konsultavimo įmonė „Gartner“ paskelbė tyrimo pastabą, kurioje išdėstė trumpalaikes, vidutines ir ilgalaikes priemones, kurias „CrowdStrike“ vartotojai gali įgyvendinti, kad susidorotų su tuo, kas tapo pragaro atnaujinimu.
Viena iš įmonės rekomendacijų imtis neatidėliotinų veiksmų – užtikrinti, kad saugumo komandos ieškotų naujų grėsmių žvalgybos duomenų, susijusių su oportunistinėmis atakomis. „Panikos režimu žmonės pradeda griebtis šiaudų“, – paaiškino Sumedas Barde'as, AI saugos įmonės „Simbian“ produktų vadovas Mountain View mieste, Kalifornijoje.
„Jie ieško bet kokios pagalbos, kurią gali gauti internete“, – sakė jis „TechNewsWorld“. „Taigi, ką matome, yra daugybė netikrų svetainių, kurias išskleidžia sukčiai.
Barde paaiškino, kad viena iš sukčiavimo formų yra svetainė, kuri nieko nedaro, tik reikalauja išankstinių mokėjimų. Kitose svetainėse teikiami nemokami patarimai, tačiau yra kenkėjiškų programų.
Chrisas Moralesas, Netenricho, saugumo operacijų centro paslaugų teikėjo San Chosė mieste, Kalifornijoje, CISO, paminėjo keletą oportunistinių išpuolių rūšių, kurios šiuo pradiniu CrowdStrike gedimo laikotarpiu organizacijos turėtų būti labai budrios. „Sukčiavimo kampanijos yra didelės“, – sakė jis „TechNewsWorld“. „Užpuolikai mėgsta pasinaudoti painiava siųsdami el. laiškus, kurie atrodo kaip iš CrowdStrike ar susijusių įmonių.
„Kredencialų užpildymas ir žiaurios jėgos atakos taip pat yra dažnos, nes užpuolikai bando išnaudoti visas laikinas saugumo spragas“, – pridūrė jis.
„Ir, žinoma, visada yra rizika, kad chaoso metu žinomi pažeidžiamumai bus nukreipti agresyviau“, – sakė jis.
Ransomware bangos potencialas
Nutraukimas taip pat gali paskatinti dar vieną interneto rykštę. „Išpirkos programinės įrangos atakų gali padaugėti, nes užpuolikai pasinaudoja susilpnėjusiomis paveiktų organizacijų saugumo pozicijomis“, – sakė Timas Freestone'as, „Kiteworks“, saugaus turinio komunikacijos tiekėjo San Mateo, Kalifornijoje, vyriausiasis strategijos ir rinkodaros pareigūnas.
„Gali padidėti duomenų išfiltravimo bandymai, nukreipti į laikinai pažeidžiamas sistemas“, – sakė jis „TechNewsWorld“. „Nutrūkimas taip pat gali paskatinti DDoS atakas dar labiau užgožti ir taip įtemptus tinklus.
Taip pat gali būti sukurti pakvietimai įsilaužėlių oportunistiniams išnaudojimams, kai saugumo operacijų centro komandos įgyvendina ad hoc priemones, kad sistemos greitai pradėtų veikti.
„Vienas didžiausių dalykų SOC bus užtikrinti, kad visos laikinos sistemos, laikini leidimų padidinimai ar kiti sprendimai, kurie buvo pritaikyti, būtų nutraukti“, – pastebėjo Joshas Thorngrenas, programinės įrangos saugumo testavimo įmonės „ForAllSecure“ saugumo strategas. kompanija Pitsburge.
„Kai po dviejų savaičių bus veikla šiuose įrenginiuose ar tinkluose, tai greičiausiai bus problema“, – sakė jis „TechNewsWorld“.
„Gartner“ taip pat pateikė keletą rekomendacijų dėl vidutinio laikotarpio veiksmų. „Vidurio laikotarpio veiksmų tikslas yra įvertinti poveikį antrinėms sistemoms, ieškoti atvirų pažeidžiamumų ir užtikrinti, kad ateinančią savaitę būtų matomi planuojami visos sistemos atnaujinimai ir leidimai“, – aiškinama.
Valdykite nuovargį ir perdegimą
Tarp „Gartner“ pasiūlytų vidutinės trukmės veiksmų buvo, kad organizacijos kartu su SOC komandomis peržiūrėtų anomalijas ar neįprastas tendencijas, kad sumažintų nepastebėto oportunistinio išpuolio riziką.
„SOC komandos turėtų stebėti neįprastus duomenų kiekius, patenkančius į saugyklas arba paimtus iš jų, didesnių nei įprasta prieigos užklausų, naudotojų, kurie, atrodo, prašo prieigos prie failų ar diskų, kurių jie paprastai nenori arba kurių jiems nereikia pasiekti, ir bet kokie leidimų ar konfigūracijų pakeitimai, kurie neatitinka ankstesnių bazinių linijų ar tendencijų“, – sakė Katie Teitler-Santullo, „OX Security“, aktyvių programų saugos laikysenos valdymo platformų kūrėjos, kibernetinio saugumo strategė Tel Avive, Izraelyje.
„IT ir saugos komandos taip pat gali padėti savo organizacijoms, pridėdamos bet kokius žinomus netikrus domenus, pvz., crowdstrikebluescreen[.]com arba crowdstrike-helpdesk[.]com, į jų blokavimo sąrašus, kad vartotojai netyčia neapsilankytų tose svetainėse“, – sakė ji „TechNewsWorld“.
Kitas „Gartner“ pasiūlytas vidutinės trukmės veiksmas yra aktyvus darbuotojų perdegimo ir nuovargio valdymas. „Šis gedimas neapsiriboja saugumo komandomis, nes paliečia kiekvieną įmonės mašiną“, – pažymėjo „Gartner“ vyresnysis direktorius analitikas Jonas Amato.
„Tai sukuria sudėtingą, daug laiko reikalaujantį ir varginantį procesą“, – sakė jis „TechNewsWorld“. „Šiuo metu daugumos įmonių pagalbos tarnybos darbuotojai yra įtempti iki lūžio taško. Girdžiu apie įmones, samdančias daugybę rangovų, atvykstančių prisiliesti prie mašinų ir dirbančių 24 valandas per parą, 7 dienas per savaitę. Kuo ilgiau tai tęsis, tuo didesnė tikimybė, kad jus užklups nuovargis. Tai yra perdegimo receptas.
Moralesas paaiškino, kad perdegimas ir nuovargis yra didžiulės problemos per tokius įvykius kaip „CrowdStrike“ gedimas ir dažnai nepaisoma. „Pagalvok apie tai“, – pasakė jis. „Mūsų apsaugos komandos staiga susiduria su didžiuliu darbo krūvio padidėjimu. Jie bando suvaldyti reagavimą į incidentą, tęsdami visas įprastas operacijas. Tai tarsi bandymas užgesinti ugnį dar gaminant vakarienę.
„Toks užsitęsęs stresas gali sukelti rimtą nuovargį priimant sprendimus, kai pasirinkimų kokybė pradeda prastėti“, – tęsė jis. „Pavargę darbuotojai gali praleisti svarbius įspėjimus ar subtilius išpuolio požymius.
„Ir pripažinkime, – pridūrė jis, – mes visi esame žmonės – tikimybė suklysti išauga, kai esi išsekęs. Viena nedidelė klaida gali sukelti netinkamą konfigūraciją arba uždelstą atsakymą, ir staiga mūsų rankose atsiranda daug didesnė problema.
Atsparumas ilgalaikiam
„Gartner“ ilgalaikiais veiksmais siekiama sušvelninti arba sumažinti būsimų įvykių, pvz., „CrowdStrike“ įvykio, riziką. „Dėl „CrowdStrike“ veiklos nutraukimo reikia daugiau dėmesio skirti atsparumui“, – pažymėjo Gartneris ir rekomendavo: „Naudokite metodą iš viršaus į apačią, kad susietumėte požiūrį su bendrais strateginiais tikslais“.
„Dėl visų pastangų, kad tokios klaidos nepasikartotų, turėtume numatyti, kad ateinančiais metais šių pakopinių klaidų dažnis ir poveikis padidės, nes pasaulis taps dar labiau tarpusavyje susijęs ir priklausomas“, – sakė viceprezidentas ir generolas Maurice'as Uenuma. „Blancco Technology Group“ – pasaulinės įmonės, kuri specializuojasi duomenų trynimo ir mobiliųjų įrenginių diagnostikos srityse, vadovas
„Dėl to turime sutelkti dėmesį į atsparumą – gebėjimą išgyventi ir atsigauti, kai ateina neišvengiama krizė“, – sakė jis „TechNewsWorld“.
„Atsparumas pasiekiamas turint atskirus, perteklinius būdus atlikti svarbias užduotis, užtikrinant nuolatinę duomenų atsarginę kopiją, kuriant alternatyvius ryšio kanalus ir repetuojant dirbti su sumažėjusiomis galimybėmis nepalankiomis sąlygomis“, – aiškino jis.
„Jei įmonės nori būti atsparesnės, jos pirmiausia turi visiškai prižiūrėti ir žinoti savo tiekimo grandinę“, – pridūrė Jenna Wells, „Supply Wisdom“ – realiojo laiko rizikos žvalgybos platformos Niujorke – vyriausioji klientų ir produktų pareigūnė.
„Jei visapusiškai prižiūrite ir žinote savo tiekimo grandinę, sutaupote laiko ir padidinate savo atsparumą, nes jau žinote savo nesėkmes“, – sakė ji „TechNewsWorld“. „Tuomet galite aktyviai parengti verslo tęstinumo planą, kai įvyks įvykiai.
„Ar tai būtų kibernetinis įvykis – ar, kaip šiuo atveju, žmogiškoji klaida – į bet kokį incidentą turite sugebėti reaguoti vienu piršto spragtelėjimu“, – sakė ji. „Galų gale, tai ne tada, kai įvyksta, bet kada įvyksta“.