从CrowdStrike 导致蓝屏事件 看DevOps安全的重要性

时间:2024-07-23 作者:奇安信集团

分享到:

    近日,CrowdStrike公司安全软件Falcon更新过程中出现严重问题,导致Windows设备大范围蓝屏(BSOD),造成交易中断、航班停飞、物流延误等严重后果,全球至少二十多个国家、850万台Windows设备受到波及,多个行业的业务被迫中断,这是有史以来,由安全产品自身导致的最严重安全事件。

    1    事件起因

    CrowdStrike公司成立于2011年,是全球知名的终端安全厂商,其核心产品Falcon猎鹰平台,以“single agent”轻量级代理为基础,提供了包含资产管理、暴露面管理、端点监测与响应、数据保护、日志分析、威胁情报等多项保护措施在内的强大功能。

    根据CrowdStrike的报告,导致本次系统蓝屏的原因并不是之前网传的“驱动更新”,而是推送的错误的配置更新与Windows系统发生了兼容性问题,导致安装了该安全软件的终端出现蓝屏情况,据推测,导致本次蓝屏的罪魁祸首应该是安全策略类文件。

    目前CrowdStrike已经给出了解决方案,即在安全模式或恢复模式删除“CrowdStrike”目录下的“C-00000291*.sys”的文件或者直接重命名“CrowdStrike”即可,但在目前看来逐台处理问题终端的时间成本和人工成本,同样也不容忽视。

从CrowdStrike 导致蓝屏事件 看DevOps安全的重要性

    2    攻防对抗进入“分秒级”  安全产品快速升级是应对之道

    根据Cloudflare 发布的《 2024 年应用安全报告》,全球恶意流量从2023年的6%飙升至7%,此外,漏洞武器化的速度大幅度提升,CI/CD工具JetBrains TeamCity新版本发布不到1小时即发现漏洞后下线,当天出现POC,20分钟后就检测到漏洞利用试探。

从CrowdStrike 导致蓝屏事件 看DevOps安全的重要性

    在如此高强度的攻防对抗形势下,及时更新安全规则、样本就变得十分重要且必须,安全产品更新规则文件已经成为常态,CrowdStrike事件报中指出,更新文件是Falcon sensor保护机制的一部分,会及时更新CrowdStrike发现的规则、技术和程序,每天都会发生几次。

    3    缺乏安全加持的DevOps 无力阻止灾难扩散

    俗话说,根基不固,大厦将倾;基础不牢,地动山摇。奇安信安全专家认为,此次事件暴露出了CrowdStrike公司在产品发布环节存在重大问题,存在质量缺陷的软件直接上线,以看起来并没有灰度机制的方式被推送出来,直接导致了至少850万台Windows设备系统不可用,对全球航空、金融、交通、酒店等重要业务产生了重大影响,大量重要政府企业无法对外提供服务。

    “这次是安全软件更新问题导致IT故障,其实安全软件漏洞也是重大风险,安全软件漏洞已经成为重大风险来源。”安全专家表示,比如数年前,某知名安全厂商SSL VPN被曝存在漏洞,被某黑客组织利用,针对我国多驻外机构,以及北京、上海等地政府相关机构开展高级窃密行动,影响面非常广泛,这充分说明了安全软件本身安全性、健壮性和稳定性的重要意义。

    对于Falcon这类高频迭代的业务,DevOps的开发模式无疑是效率最高的,但DevOps必须有安全的加持,在Dev开发环节就应该有安全策略的介入,尽量避免安全风险产生,严格控制存在风险的业务上线进入Ops环节,在Ops环节要及时将问题反馈给Dev部门,以实现漏洞的快速定位和修复。加上Falcon千万级的安装量、高频更新的属性,在业务更新前更应该遵守DevSecOps和灰度发布的原则,而不能因为自身的安全属性而获得“免死金牌”。

从CrowdStrike 导致蓝屏事件 看DevOps安全的重要性

    所谓DevSecOps,即开发安全运维一体化,它是一种集开发、安全和运维于一体的新型软件开发和运营模式,它强调在快速迭代和持续交付的背景下,将安全性融入到整个软件开发过程中,实现开发、安全和运维的协同和一体化。

    奇安信始终遵循严格的质量管理体系,将“零事故”保障(业务不中断、数据不出事、合规不踩线)作为产品设计目标。其中包括参考安全开发生命周期(SDLC)、软件保证成熟度模型(OpenSAMM)、开发安全运维一体化(DevSecOps)等软件安全开发实践,构建了奇安信的软件安全开发体系,该体系覆盖了安全需求、安全设计、安全开发、安全测试和安全部署运维等各阶段工作,使得产品研发从业务需求到产品交付实施实现全链路、端到端的安全检查,整个流程确保产品安全防护能力不断提升,为软件植入安全“基因”。

    4    云原生时代 如何避免类似的事故发生?

    在云原生技术快速发展的趋势下,云原生安全成为关注的热点,尤其是云原生环境普遍存在代码缺陷、错误配置、供应链安全、云原生制品安全等诸多问题,如果不加以控制,类似的问题业务上线将难以避免。

    奇安信CNAPP云原生应用安全保护平台(以下简称:奇安信CNAPP)是针对DevOps实施完整保护的一体化保护平台,以“业务应用”为核心保护目标,提升“业务应用”安全可观测性,并提供完整保护能力,让安全伴随业务而生,实现业务的全生命周期安全保护。

    奇安信CNAPP平台具备云原生资产采集与梳理、云原生风险及威胁采集,以及全栈式云原生安全能力,可以实现云原生应用【上线前安全管控】、以及【上线后安全运营】,覆盖了开发、部署和运行时阶段,将安全融于DevOps,实现DevSecOps,推动“业务的安全”向“安全的业务”转变。

从CrowdStrike 导致蓝屏事件 看DevOps安全的重要性

    ·全栈式安全能力,保护DevOps各环节安全

    在编码、构建、测试等Dev开发阶段,奇安信CNAPP可对接SAST静态应用程序安全测试、IAST交互式应用程序安全测试、DAST动态应用程序安全测试工具和SCA软件成分分析工具,对代码和第三方组件的合规性、安全性做管理。

    在Ops运行时阶段,可通过CWPP云工作负载保护工具实现服务器、虚拟机等底座的安全保护;部署时,可通过Web应用程序和API保护工具防止应用免受各种常见攻击 ,运行时启用RASP工具对应用实现自我保护,监控阶段可通过CSPM和KSPM工具分别对云平台、容器做配置安全性核查。

从CrowdStrike 导致蓝屏事件 看DevOps安全的重要性

    ·业务上线前安全管控,阻断风险业务上线

    奇安信CNAPP除了将常见的漏洞、恶意代码、弱口令等风险和脆弱性作为风险评估指标外,还结合了云原生资产的自身价值属性、平台内置的威胁情报库,通过双向反馈能力,将运行时的环境指标实现“向左赋能”,输出每个风险信息的真实危害程度,帮助用户从海量风险数据中找到真正的潜在风险,通过优先级指导用户在有效的时间内修复,有的放矢地实现风险处理流程。

    此外还可以通过卡点策略集成在DevOps流程工具中,自动实现安全管控,有效控制风险业务上线,并给相关的开发人员提供修复建议,指导其完成安全风险的修复。

从CrowdStrike 导致蓝屏事件 看DevOps安全的重要性

    ·业务上线后安全运营,实现威胁快速反馈

从CrowdStrike 导致蓝屏事件 看DevOps安全的重要性

    奇安信CNAPP内置sabre关联分析引擎,将网侧、端侧的告警数据采集,并经过大数据关联分析提取有价值的告警内容,实现精准的安全告警。通过攻击路径图,可以以攻击者的视角展现每一次攻击事件的详细过程,帮助安全运营人员及时处置安全告警,实现安全闭环。

    5    网络安全应该受到更多的重视 对安全须心存敬畏

    随着网络安全建设水平的提升,我们已经习惯了安全、稳定的网络环境,这场事故给我们所有人都敲响了警钟,如果这次事故不是软件自身的故障导致,而是由攻击者发起,那么停飞的航班、中断的交易和停摆的业务,能否在这么短的时间内恢复?如果这是一场网络战争,我们是否已经做好了准备?

奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们