Wat CrowdStrike ons leer oor voorsieningskettingbestuur
INHOUDSOPGAWE:
Hierdie somer se wêreldwye IT-onderbreking, wat miljoene rekenaars en gegronde lugdienste wêreldwyd afgeneem het, het gedemonstreer hoe moeilik dit is om 'n moderne digitale voorsieningsketting te bestuur. Kan effektiewe kliënterisikobestuur help om die gapings te vul?
Op 19 Julie het berigte begin verskyn van 'n massiewe onderbreking in Windows-stelsels wat oor verskeie industrieë versprei is. Eindpunte was af en kon nie behoorlik herlaai nie, wat gelei het tot die belangrikste IT-onderbreking in die geskiedenis. Die probleem het gespruit uit 'n logiese fout in 'n opdatering van CrowdStrike se sekuriteitsagteware, wat 8.5 miljoen stelsels onderbreek het, volgens Microsoft. Herstel was 'n komplekse, handmatige proses. Saam met die gekanselleerde vlugte het bankkliënte en gesondheidsorgpasiënte ook gely omdat die onderbreking finansiële transaksies beïnvloed het en selfs vertraagde chirurgiese prosedures.
"Die onlangse voorval versterk hoe toenemende afhanklikheid van onderling gekoppelde IT-stelsels die risiko-oppervlak uitgebrei het," sê Mark E. Green, voorsitter van die Huis se Binnelandse Veiligheidskomitee, wat op 24 September getuienis van CrowdStrike sal aanhoor. Dit is moeiliker as ooit om voorsieningskettingrisiko te bestuur, nie net gegewe die grootte van daardie kettings nie, maar die kompleksiteit van die sagtewareprodukte en -prosesse wat hulle verskaf.
"Het jou so gesê" sê die GAO
Die Amerikaanse regering se aanspreeklikheidskantoor hou nie daarvan om te sê dit het jou so gesê nie, maar wil jou ook daaraan herinner dat dit wel gedoen is. In 'n blog post ná die voorval het dit sterk ooreenkomste uitgewys tussen hierdie onbedoelde fout en die kuberaanval wat SolarWinds en sy kliënte in 2020 in die gedrang gebring het.
Sedert Mei 2010 het die GAO 1610 aanbevelings gemaak wat oor vier kuberveiligheidsuitdagingsareas strek. Een hiervan - die vestiging van 'n omvattende kuberveiligheidstrategie en die uitvoering van effektiewe toesig - is die primêre fokusarea vir voorsieningskettingrisiko. In 'n Junie-verslag oor regeringspogings om kuberrisiko te versag, het die GAO gesê agentskappe het versuim om 43% van die aanbevelings op hierdie gebied te implementeer.
Die bestuur van 'n gekonsolideerde voorsieningsketting
"Die federale regering moet stappe doen om effektiewe toesig uit te voer, insluitend die monitering van die globale voorsieningsketting," het die GAO in sy verslag bygevoeg. Maar hoe implementeer jy effektiewe toesig oor 'n magtige maatskappy wat die grootste deel van die mark beheer?
Dan Geer, wat bygedra het tot die X Windows-stelsel en Kerberos en nou 'n senior genoot by In-Q-Tel is, het in sy 2003-verslag bekend gemaak hoe tegnologie-monokulture sekuriteit beïnvloed Kuberonsekerheid: die koste van monopolie. Dit het genoeg senuwees in korporatiewe tegnologie getref dat hy die dag ná die publikasie daarvan afgedank is.
21 jaar later en ’n week ná die CrowdStrike-onderbreking het hy het ons daaraan herinner van die probleem:
"Ons weet dat beskermende oortolligheid nie net gebeur nie, en ons weet dat 'n biljoen toestelle ewe veel geen beskerming bied nie, maar eerder die teenoorgestelde," het hy gesê. "Ons weet dat die bron van risiko afhanklikheid is, en ons weet dat totale risiko eweredig is aan totale afhanklikheid."
Soos Geer uitwys, is markkonsolidasie wat miljoene toestelle oplewer, 'n ekonomiese neiging. Windows het meer as 70% van die rekenaarbedryfstelselmark, en twee maatskappye—Microsoft en CrowdStrike—besit 44% van die eindpuntbeskermingsmark tussen hulle.
Hierdie tendens het nie teruggekeer sedert 2003 nie. Dit sal ook nie in die toekoms terugkeer nie. Daar is baie redes waarom maatskappye dieselfde sagteware as hul eweknieë kies, wat wissel van beskikbaarheid (die aantal beskikbare oplossings konsolideer met verloop van tyd) tot risiko-aversie (niemand het ooit ontslaan omdat hy IBM gekoop het nie) en bestuurbaarheid (dit is makliker om te bestuur en te ondersteun) 'n vloot van 'n duisend Windows-masjiene as 'n verskeidenheid van verskillende eindpuntbedryfstelsels).
Ongetwyfeld doen groot maatskappye hul bes om die beste praktyke vir kuberveiligheid te volg, maar foute kom voor. Die Amerikaanse regering se kuberveiligheidsoorsigraad gevind dat Microsoft se sekuriteitskultuur “onvoldoende was en ’n hersiening vereis” nadat kubermisdadigers sy stelsels gekap en ’n kriptografiese sleutel gekompromitteer het wat hulle toegang tot senior bestuurders se rekeninge gegee het. CrowdStrike, terwyl gepaste selfuitwissing solank dit kos nie te veel nie, het 'n karretjie-opdatering vrygestel wat dit nie kon vang nie.
Microsoft en CrowdStrike het op 10 September 'n geslote deurvergadering gehou om te bespreek hoe hulle kan verhoed dat hierdie soort ding weer gebeur. Hulle het maatreëls bespreek soos om minder op kernmodus staat te maak, waar buggy sagteware die uiterste skade wat in Julie gesien is, kan veroorsaak. As CrowdStrike verduidelik, wat 'n bietjie werk van Microsoft se kant verg.
CrowdStrike het ook gesê dat dit nou ander maatreëls sal volg, soos die gebruik van kanarievrystellings - 'n basiese beste praktyk vir skaalontplooiing - om skade aan 'n kleiner aantal masjiene te beperk.
Alhoewel dit prysenswaardig is dat sulke groot maatskappye hierdie lesse nou leer, is dit kommerwekkend dat hulle dit doen op hul kliënte se sent.
Wat kliënte daaraan kan doen
Dit is belangrik om verskafferbestuurskontroles soos dié in ISO 27001 Bylae A 5.22, maar soos ISMS.online sê, is dit belangrik om pragmaties te wees oor hoeveel invloed jy op 'n groot verskaffer kan hê.
Nietemin, ISO 27001 het baie om te bied met betrekking tot voorvalreaksie paraatheid. Dit begin met beplanning vir risiko deur deeglike assessering, soos uiteengesit in ISO 27001 klousule 6. Dit bied ook waardevolle leiding in Beheer 5.30, wat organisasies voorberei vir besigheidskontinuïteit in die geval van 'n probleem.
Hierdie praktyke beskerm dalk nie 'n maatskappy teen 'n groot voorval stroomop in die voorsieningsketting nie, maar hulle kan help om die impak van sulke gebeure stroomaf te verminder, en help om dienste vir kliënte en sakevennote te handhaaf.
