Vào sáng sớm ngày 19 tháng 7, bản cập nhật phần mềm cho cảm biến Falcon của CrowdStrike đã bắt đầu gây ra một trong những sự cố mất điện CNTT lớn nhất trong lịch sử, ảnh hưởng đến một số ngành công nghiệp, bao gồm dịch vụ tài chính, chăm sóc sức khỏe, giao thông vận tải và các ngành khác.
Theo CrowdStrike , sự cố ngừng hoạt động bắt nguồn từ “một lỗi được tìm thấy trong bản cập nhật nội dung Falcon dành cho máy chủ Windows”. Tại thời điểm này, bản cập nhật phần mềm chưa ảnh hưởng đến hệ thống Mac và Linux.
Với tác động lan rộng của sự cố này đối với các ngành công nghiệp trên toàn cầu, các hoạt động dọn dẹp và ứng phó có thể sẽ diễn ra trong tuần này. Vào thời điểm này, phản ứng ngay lập tức nên tập trung vào việc tuân theo các hướng dẫn của CrowdStrike để khôi phục an toàn các hệ thống quan trọng bị ảnh hưởng bởi bản cập nhật Falcon và giám sát tình hình bảo mật của CrowdStrike .
UpGuard cam kết giúp các tổ chức ứng phó với sự cố CrowdStrike một cách an toàn và đảm bảo họ có thông tin cần thiết để giảm thiểu tác động của sự cố này trên toàn bộ hệ sinh thái của bên thứ ba và bên thứ tư. Đặc biệt, khách hàng Vendor Risk với mô-đun Fourth Parties có thể hiểu được cách sự cố CrowdStrike tác động đến hệ sinh thái của bên thứ tư. Tham khảo phần Nền tảng UpGuard có thể giúp ích như thế nào để biết thêm thông tin chi tiết.
Bị ảnh hưởng bởi sự cố CrowdStrike? Đây là những gì bạn nên làm ngay bây giờ
Nếu bạn bị ảnh hưởng bởi sự cố CrowdStrike, trước tiên bạn nên làm theo hướng dẫn khôi phục và giải pháp thay thế mà CrowdStrike đã công bố trên trang web chính thức của mình . Các bước bao gồm thông tin về những hệ thống bị ảnh hưởng và hướng dẫn người dùng cách xử lý sự cố dựa trên trạng thái và thuộc tính của hệ thống.
Tiếp theo, bạn nên giải quyết vấn đề này đã tác động đến các nhà cung cấp bên thứ ba của bạn như thế nào. Họ đã tiếp xúc với sự cố và đã thực hiện các bước khôi phục thích hợp để khôi phục hệ thống của họ chưa? Điều quan trọng là phải hiểu rằng ngay cả khi hệ thống nội bộ của bạn không bị ảnh hưởng bởi sự cố, thì các nhà cung cấp bên thứ ba và nhà cung cấp dịch vụ mà bạn tin tưởng có thể đã bị ảnh hưởng.
Vào thời điểm này, điều quan trọng là phải đánh giá xem nhà cung cấp của bạn có vẫn đang hoạt động với các biện pháp kiểm soát bảo mật phù hợp hay không. Một số doanh nghiệp có thể vô hiệu hóa Crowdstrike hoàn toàn thay vì khôi phục hệ thống của họ về phiên bản ban đầu. Điều này có thể khiến nhà cung cấp của bạn (và bạn) dễ bị tấn công mạng và các mối đe dọa bảo mật dữ liệu.
Tùy thuộc vào mức độ ưu tiên của sự cố này, các công ty dựa vào CrowdStrike trong chuỗi cung ứng của họ sẽ có nguy cơ cao hơn mức trung bình trong vài ngày tới. Chúng tôi đã thấy các ví dụ về các tác nhân đe dọa xác định và nhắm mục tiêu vào khách hàng của CrowdStrike.
Sau đây là danh sách kiểm tra cấp cao để đảm bảo bạn đã thực hiện những điều cần thiết:
- Áp dụng ngay bản sửa lỗi và bản vá CrowdStrike mới nhất cho tất cả các hệ thống bị ảnh hưởng và thường xuyên kiểm tra các bản cập nhật chính thức .
- Theo dõi chặt chẽ nhật ký hệ thống và bảo mật để phát hiện bất kỳ hoạt động bất thường nào có thể chỉ ra các vấn đề dai dẳng hoặc nỗ lực khai thác.
- Xác minh rằng tất cả các bản sao lưu dữ liệu quan trọng đều là bản mới nhất và có thể truy cập được. Kiểm tra các quy trình khôi phục để đảm bảo dữ liệu có thể được khôi phục nhanh chóng và chính xác nếu cần.
- Duy trì mức độ cảnh giác cao chống lại các nỗ lực lừa đảo bằng cách đào tạo nhân viên cách xác định email đáng ngờ và tránh nhấp vào các liên kết không xác định hoặc tải xuống các tệp đính kèm chưa được xác minh.
- Tăng cường kiểm soát truy cập, bao gồm triển khai xác thực đa yếu tố (MFA) để ngăn chặn truy cập trái phép trong giai đoạn khôi phục.
- Thiết lập các kênh truyền thông rõ ràng để thông báo cho tất cả các bên liên quan, bao gồm nhân viên, khách hàng và đối tác, về sự cố và các nỗ lực phục hồi. Cung cấp thông tin cập nhật thường xuyên về tình trạng sự cố và thời gian giải quyết dự kiến.
- Đánh giá xem nhà cung cấp nào của bạn bị ảnh hưởng và làm việc với họ để hiểu kế hoạch ứng phó và mốc thời gian khắc phục của họ. Làm việc cùng nhau để đảm bảo các chiến lược giảm thiểu nhất quán và hiệu quả trên toàn bộ chuỗi cung ứng.
- Cập nhật và xem xét các kế hoạch ứng phó sự cố để xử lý tốt hơn những gián đoạn tương tự trong chuỗi cung ứng, đảm bảo các chiến lược giảm thiểu nhanh chóng được triển khai và thử nghiệm thường xuyên.
UpGuard có thể giúp đẩy nhanh quá trình phục hồi của bạn như thế nào
Các tổ chức hiện đang phải đối mặt với nhiệm vụ cấp bách là xác định và giảm thiểu tác động đến hệ sinh thái nhà cung cấp của họ—một quá trình có thể tốn rất nhiều thời gian nếu thực hiện thủ công. Rất may, công nghệ như Vendor Risk của UpGuard đã vượt qua thách thức, cung cấp các công cụ để hợp lý hóa các nỗ lực phục hồi khi mọi khoảnh khắc đều có giá trị.
Xem video này để biết tổng quan về cách UpGuard có thể giúp bạn ứng phó với sự cố CrowdStrike và bảo vệ hệ sinh thái nhà cung cấp của bạn.
Nhận bản dùng thử miễn phí của UpGuard >
Xác định các nhà cung cấp bị ảnh hưởng và hiểu rõ rủi ro tập trung
Với UpGuard, các tổ chức có thể dễ dàng xác định nhà cung cấp bên thứ ba và bên thứ tư nào có thể bị ảnh hưởng bởi sự cố CrowdStrike Falcon, cung cấp thông tin chi tiết ngay lập tức về mức độ rủi ro của họ chỉ bằng vài cú nhấp chuột. Khách hàng của Vendor Risk có thể tận dụng bộ lọc Fourth Party Products trên trang Vendors để dễ dàng xác định nhà cung cấp bị ảnh hưởng, đảm bảo hiểu rõ về các rủi ro tiềm ẩn. Trang Fourth Parties cũng cung cấp chế độ xem chi tiết về các nhà cung cấp bị ảnh hưởng, nâng cao khả năng hiển thị mức độ rủi ro của bên thứ ba và bên thứ tư.
Có liên quan: CISO nên xử lý các vi phạm tương tự CrowdStrike trong tương lai như thế nào.
Hiểu mức độ rủi ro của nhà cung cấp của bạn bằng bảng câu hỏi về sự cố Crowdstrike
Đối với các nhà cung cấp mà bạn phân loại là quan trọng và bạn thiếu thông tin về mức độ tiếp xúc của họ, UpGuard có thể giúp hợp lý hóa việc thu thập thông tin bổ sung bằng một Bản câu hỏi sự cố CrowdStrike chuyên dụng mới, hiện có trong Thư viện câu hỏi. Ngoài ra, tất cả thông tin liên lạc của nhà cung cấp được tập trung tại một vị trí, tạo điều kiện cho sự hợp tác nhóm và quản lý công việc hiệu quả hơn, đồng thời đảm bảo theo dõi kiểm toán toàn diện nếu cần bằng chứng trong tương lai.
Xem lại các cảnh báo tự động để cập nhật và thay đổi sự cố
Phần Sự cố và Tin tức cũng cung cấp góc nhìn toàn diện về tất cả các thực thể có khả năng bị ảnh hưởng, đảm bảo bạn luôn được cập nhật và chủ động. Khi đến lúc cập nhật tình hình doanh nghiệp và hội đồng quản trị của bạn về tình hình sự cố, UpGuard có thể tạo báo cáo một cú nhấp chuột cung cấp tóm tắt ngắn gọn về tác động của sự cố. Các báo cáo này vô cùng hữu ích để nhanh chóng thông báo cho các bên liên quan nội bộ và bên ngoài, cho phép họ hiểu tình hình và đưa ra quyết định sáng suốt mà không chậm trễ.
Bằng cách sử dụng các tính năng này, bạn có thể tự tin giải quyết những phức tạp trong quản lý rủi ro của bên thứ ba và thứ tư trong thời kỳ khủng hoảng.
Nhận hỗ trợ bạn cần ngay bây giờ
Để hỗ trợ các nỗ lực ứng phó toàn cầu đối với sự cố chưa từng có này, UpGuard đang tăng cường quyền truy cập nền tảng để đảm bảo mọi tổ chức đều có các công cụ cần thiết theo ý mình.
Các tổ chức có thể tận dụng quyền truy cập miễn phí 14 ngày vào nền tảng Rủi ro nhà cung cấp UpGuard để tăng cường nỗ lực ứng phó của mình.
Khách hàng hiện tại của UpGuard Vendor Risk sẽ được quyền truy cập miễn phí 30 ngày vào mô-đun rủi ro tập trung của Bên thứ tư, trong khi khách hàng của BreachSight được quyền truy cập miễn phí 14 ngày vào Vendor Risk, cho phép họ xác định các nhà cung cấp bị ảnh hưởng và bắt đầu nỗ lực khắc phục.
Để biết thêm chi tiết về ưu đãi miễn phí này hoặc để yêu cầu quyền truy cập, hãy liên hệ với bộ phận Hỗ trợ UpGuard theo địa chỉ support@upguard.com .
Tăng cường chuỗi cung ứng của bạn tiến về phía trước
Đối với nhiều người, sự cố CrowdStrike có thể xảy ra mà không có cảnh báo. Tuy nhiên, sự thật là các sự cố liên quan đến bên thứ ba hiện phổ biến hơn bao giờ hết và 29% trong số tất cả các vụ vi phạm dữ liệu đều bắt nguồn từ một vectơ tấn công của bên thứ ba.
Bất chấp số liệu thống kê đáng kinh ngạc này và chi phí trung bình khủng khiếp của một vụ vi phạm dữ liệu ( 4,45 triệu ), 54% doanh nghiệp thừa nhận rằng họ không kiểm tra kỹ lưỡng các nhà cung cấp và nhà cung cấp dịch vụ bên thứ ba trước khi tuyển dụng.
Mặc dù ngay cả chương trình quản lý rủi ro của bên thứ ba (TPRM) tốt nhất cũng không thể ngăn chặn sự cố CrowdStrike xảy ra, nhưng nó sẽ cho phép tổ chức biết được nhà cung cấp nào của mình bị ảnh hưởng một cách nhanh chóng và chuẩn bị cho họ để thực hiện các biện pháp giảm thiểu hiệu quả nhất có thể.
Các chương trình TPRM hiệu quả nhất bao gồm các thành phần sau:
- Đánh giá rủi ro của nhà cung cấp
- Câu hỏi về bảo mật của nhà cung cấp
- Giám sát an ninh liên tục
- Báo cáo chi tiết và bảng thông tin
Việc thiết lập một chương trình với các thành phần này sẽ giúp tổ chức của bạn nhanh chóng xác định, giảm thiểu và khắc phục các rủi ro của bên thứ ba trước khi chúng gây tổn hại đến tổ chức và cải thiện thời gian phản ứng khi xảy ra các sự cố không thể tránh khỏi.
Có liên quan: Chiến lược của CISO sau CrowdStrike nhằm bảo vệ bảng cân đối kế toán .
Hậu quả lâu dài của sự cố CrowdStrike sẽ như thế nào?
Khi thế giới biết nhiều hơn về sự cố CrowdStrike, hãy mong đợi các cơ quan quản lý sẽ phản ứng bằng cách tăng cường giám sát và đưa ra các quy định tuân thủ chặt chẽ hơn.
Rủi ro của bên thứ ba đã trở thành tâm điểm chú ý trong nhiều năm và các cơ quan quản lý trên toàn thế giới đã phản ứng nhanh chóng với các sự cố trước đó, như SolarWinds, Knight Capital và MOVEit . Phản ứng tương tự có thể xảy ra sau sự cố CrowdStrike.
Tiến về phía trước, các cơ quan quản lý ngành có thể sẽ yêu cầu các tổ chức phát triển thêm các kế hoạch ứng phó sự cố, bao gồm các quy trình có hệ thống để tuân theo tùy thuộc vào mức độ quan trọng của nhà cung cấp bị ảnh hưởng. Các yêu cầu này cũng có thể yêu cầu các tổ chức hợp tác nhiều hơn với các nhà cung cấp bên thứ ba của họ để đảm bảo tất cả dữ liệu nhạy cảm được bảo vệ và hoạt động được khôi phục nhanh chóng trong các sự cố như vậy.
Do đó, quản lý rủi ro của bên thứ ba có thể sẽ trở thành vấn đề lớn hơn đối với các tổ chức trong nhiều ngành, đặc biệt là những tổ chức bị ảnh hưởng gần đây nhất.
Quan điểm của CISO: Chúng ta có thể học được gì từ sự kiện gây rối loạn như vậy?
Góc nhìn được cung cấp bởi Phil Ross, CISO @ UpGuard
Sự cố CrowdStrike không phải là sự cố công nghệ đầu tiên ảnh hưởng đến các ngành công nghiệp toàn cầu và cũng sẽ không phải là sự cố cuối cùng. Quản lý rủi ro của bên thứ ba là một lĩnh vực luôn phát triển và thường thì những bước tiến lớn nhất đến sau những sự cố như thế này. Những sự kiện này có sức tàn phá trong quá trình diễn ra nhưng cuối cùng lại mang đến những bài học và chiến lược tiên tiến cho các cuộc thảo luận về quản lý rủi ro của bên thứ ba và ứng phó sự cố.
Trong bối cảnh tránh và giảm thiểu tác động của các sự cố như sự cố cập nhật CrowdStrike, điều cần thiết là phải phân loại các khu vực bị ảnh hưởng và áp dụng các chiến lược để giảm thiểu gián đoạn. Đối với các thiết bị điện toán của người dùng cuối (EUC), chẳng hạn như đội máy tính xách tay và máy trạm cố định hoặc tại chỗ, các tổ chức nên trì hoãn các bản vá và bản cập nhật cho hệ điều hành, tác nhân phần mềm và ứng dụng cho đến khi chúng được thử nghiệm trên các thiết bị đại diện.
Việc triển khai quy trình kiểm tra nhanh đối với các bản cập nhật khẩn cấp, đặc biệt là đối với phần mềm bảo mật bảo vệ như tác nhân Falcon của CrowdStrike, là rất quan trọng. Ngoài ra, hãy đảm bảo quản lý thiết bị di động và thiết bị chuyển vùng được cấu hình cho các quy trình khôi phục hàng loạt, ngay cả khi thiết bị không thể hoàn tất quá trình khởi động hệ điều hành thông thường.
“Để bảo vệ chống lại các lỗ hổng trong phần mềm được sử dụng rộng rãi, các tổ chức cần có cái nhìn rõ ràng về chuỗi cung ứng phần mềm của họ. Không chỉ là phản ứng khi phát hiện ra lỗ hổng mà còn phải chuẩn bị những hiểu biết có thể hành động để tránh hoặc giảm thiểu tác động.”
–
Phil Ross (CISO @ UpGuard)
Đối với các máy và thiết bị vật lý hoặc ảo, chẳng hạn như máy trạm và máy chủ của người dùng, nên áp dụng cách tiếp cận tương tự. Trì hoãn các bản vá và bản cập nhật cho đến khi chúng được thử nghiệm trên các máy đại diện và thiết lập hệ thống phân loại để ưu tiên xác minh nhanh hơn các bản cập nhật ít rủi ro hơn. Đánh giá rủi ro và lợi ích của việc trì hoãn các bản cập nhật cho các hệ thống quan trọng, đặc biệt là nếu có báo cáo về tác động lan rộng.
Áp dụng nguyên tắc ‘gia súc không phải thú cưng’—khắc phục các tệp xây dựng cơ sở hạ tầng dưới dạng mã và khởi tạo các máy chủ thay thế mà không có ‘bản cập nhật xấu’—là tối ưu hơn so với việc áp dụng các quy trình phục hồi cho từng máy chủ. Đối với các dịch vụ quan trọng, hãy cân nhắc việc thiết kế thêm tính đa dạng vào môi trường chính và phụ, sử dụng các thành phần của bên thứ ba khác nhau trong các môi trường chuyển đổi dự phòng có rủi ro phần mềm.
Mặc dù những sự cố như vậy rất khó khăn, nhưng chúng cũng thúc đẩy sự đổi mới và cải tiến, cuối cùng là tăng cường khả năng quản lý và giảm thiểu rủi ro trong tương lai.
Để biết thêm thông tin chi tiết, vui lòng liên hệ contact @smartnet.net.vn