從Crowdstrike EDR之亂看管理

7/19 因為Crowdstrike EDR的更新而造成全球850萬到電腦大當機,其實在這一週以來,筆者都是在協助客戶處理這個產品所衍生的相關問題,在一週前才因為一個企業使用了Crowdstrike EDR產品依然還是被駭客攻擊加密了,不到二週,他們又因為這系統造成藍屏,可謂是Crowdstrike EDR的一週,從網路片面的報導看來,肇事原因究責於一位前離職員工身上,其實從這些二問題,我們可以試著探討一下問題背後的原因.....

1. 客戶被駭客攻擊了,為何EDR系統沒有成功的阻攔呢?

雖然駭客可能是透過VPN進入,針對備份軟體漏洞進行攻擊,這就是筆者前二篇文章所提,只要是成功讓駭客進入到公司網路內,再做近身防禦都是屬於高風險的模式,所以新一代的防禦模式必須要更改為主動式防禦,決戰境外才是上策;問題背後的原因:可能是必須用新世代的防禦架構與觀念才足以對抗日新月異的RaaS產業肆虐。

2. 系統更新,如何看待內控流程?

系統更新原本就應該有一套完整的測試及版更SOP作業流程,所以未經測試及權責主管核准的更新作業,是必須要被制止的,筆者記得在N年前,我有位同學任職於某大品牌日用品通路商的IT單位,也曾經因為未經主管Double確認的商品價格,直接po上網站而錯價,而被痛劈的慘痛經驗;問題背後的原因:可見重要作業的流程管理是很重要的一件事。

3. 問題發生於剛離職的前員工身上,是無意還是蓄意呢?

有朋友問我,這次Crowdstike之亂,算不算是一次駭客攻擊事件,我只能笑笑,因為有人認為跟微軟有關,有人是覺得Crowdstike應付全責,端看您從哪一個角度看事情,我們可以輕鬆不負責任的用幾種情境,閒聊企業內部可能發生的幾個風險(因為經營風險從來都不是只有外部駭客攻擊,內部員工行為及作為也是一大可能)

情境一: 一位認真負責的員工,只是改了一行code,但沒有經過標準的系統更新SOP,就update系統了,結果.......

情境二: 一位準備要離職的員工,無心戀棧於此,所以迅速的修改了程式碼,就交件了,結果他自己也始料未及......

情境三:一位對公司不滿的員工,在離職前夕,以最巧妙的手法,犯了一個看似無心的過錯,結果........或許背後的原因及動機,會是如此赤裸；其實現在企業針對資料保全都已有很基本的概念,很多企業也有建置相關的防護措施,但若是一個心懷恨意的員工,針對一行已發佈的程式碼進行錯誤的修正回存或是對準備量產的產品進行設計異動或極微量覆蓋等蓄意行為,都可能造成公司極大損失及傷害。問題背後的原因: 其實員工的行為跟企業管理也息息相關。

一個重大資安事件的發生可能跟資訊管理、企業管理都有關係,多一分預防、多一分準備,至少有機會讓"重大"事件,控制於可承受及可復原的狀態之下,因為"預防勝於治療"......

錡So

錡碩資訊 https://www.QISO.com.tw