ערך: אריה עמית

יועץ אסטרטגי וחבר נשיאות הלשכה

ב-19 ביולי 2024, בשעות הבוקר המוקדמות, שוחרר עדכון תצורה על ידי CrowdStrike עבור מערכות Windows  כחלק ממנגנוני ההגנה של פלטפורמת .Falcon עדכון זה הכיל שגיאה לוגית שהובילה ל"מסך כחול ” שהשפיע על מערכות רבות ופגע במיליוני מחשבים גרם לכאוס בעסקים גלובליים המשתמשים במערכות של מיקרוסופט, לשיבושים בחברות תעופה, עסקים ושירותי חירום ועשויה להיות אחת מתקלות ה-IT הגדולות בהיסטוריה.

אומרים שזה אחד מאירועי אבטחת הסייבר הגרועים ביותר בהתחשב בגודל ההשפעה. תקרית ה-CrowdStrike השפיעה על מחשבים שבהם פועל Microsoft Windows במגזרים שונים, כולל חברות תעופה, בנקים, קמעונאים, בתי ברוקרים, חברות מדיה ומסילות רכבת. מגזר הנסיעות הושפע במיוחד, כאשר חברות תעופה ושדות תעופה בגרמניה, צרפת, הולנד, בריטניה, ארה"ב, אוסטרליה, סין, יפן, הודו, סינגפור וטייוואן התמודדו עם בעיות משמעותיות עם מערכות הצ'ק-אין והכרטוס, מה שהוביל עיכובים בטיסות וכאוס בשדה התעופה.

מיקרוסופט מסרה כי כ -8.5 מיליון מחשבי Windows הושפעו. על מנהלי מערכות מידע לבחון דרכים להימנע מנקודות כשל בודדות ולהעריך מחדש גם את אסטרטגיות הענן שלהם כדי למנוע תקריות של 'מסך כחול'.

ההסתמכות על ספקי תוכנה בודדים ובקרת האיכות שלהם

ניתן לייחס את היקף ההפסקה של יום השישי הנדון למספר המכונות הארגוניות המריצות את Windows ופלטפורמת הגנת נקודות הקצה של CrowdStrike, לקוחות המשתמשים בגרסאות Linux או Mac של העדכון לא הושפעו.

השיבוש גם שם את הפוקוס על נקודות כשל בודדות פוטנציאליות באקוסיסטם ה- IT, העובדה שמשהו כזה יכול לקרות צריכה לפתוח את עיני האנשים לסיכונים האמיתיים של מונו-תרבותיות טכניות,

עם זאת, הסתמכות על ספקי תוכנה בודדים היא חלק מהמציאות בניהול נכסי IT מודרניים. אם אתה מתחייב להשתמש ב-Azure כסביבת הענן העיקרית שלך ובשירותים השונים שהם מספקים, אתה חשוף להפסקת Azure.

תוכניות גיבוי יכולות לתת לעסקים דרך להתגונן מהעלות של הפסקות בלתי צפויות.

ארגונים מפסידים כ-400 מיליארד דולר בשנה עקב כשלים ב-IT וזמני השבתה לא מתוכננים, כך מצא דו”ח Splunk שפורסם ביוני. למרות שבעיות אבטחת סייבר היו הגורם השכיח ביותר, בעיות תשתית ותוכנה הן הגורם השני בשכיחותו להפסקות אלו.

על מנהלי מערכות מידע שמקווים להימנע ממשבר במהלך הפסקת התוכנה הגדולה הבאה, לבחון מקרוב את הבטחות איכות התוכנה מספקי התוכנה העיקריים שלהם. זה צריך להיות חלק מהתרבות, וצריך להיות מושרש בתהליכי רכש ותפעול.

למרות ש-CrowdStrike טענה כי היא נוקטת בצעדים כדי למנוע מבעיה דומה להתרחש שוב, המתחרים בתחום הזיהוי והתגובה של נקודות הקצה עשויים ליהנות מהשפעת המוניטין של ההפסקה על הספק.

תוכניות ההתאוששות וההמשכיות העסקית

למרות שמיקרוסופט ו-CrowdStrike פרסמו אסטרטגיות תיקון, ההתאוששות נמשכה מספר ימים עבור עסקים רבים, כולל חברות תעופה גדולות ומערכות בתי חולים. עבור מנהלי מערכות המידע, הסצנות של הפרעה עסקית הדגישו את החשיבות של קיום תוכניות התאוששות מהירה למקרה של הפסקה שכזו. מנהלי מערכות מידע יכולים לקחת את תקלת CrowdStrike כהזדמנות להעריך מחדש את מוכנות החברה שלהם למקרים של הפסקות גדולות. בדיקת תרחישי משבר ופיתוח תוכניות המשכיות עסקית הם חלק מהכלים העומדים לרשות מנהלי הטכנולוגיה לפני הפסקת ה-IT הגדולה הבאה.

הרוב המכריע של מנהלי IT אומרים כי הפסקות או שיבושים פגעו באמון הלקוחות בארגונים שלהם, על פי מחקר של PagerDuty. 

ככל שעסקים מתאוששים והדחיפות מההפסקה הראשונית פוחתת, מנהלי מערכות מידע יכולים להגביר את המוכנות על ידי הפעלת תרגילי סימולציה על איך יכול להיראות משבר ה-IT הבא - ולפתח מענה יעיל.

בתגובה לשיבושים האחרונים שהשפיעו על הפעילות הקריטית של הארגון, יש לעדכן באופן יזום את תוכנית ההמשכיות העסקית שלו כדי לטפל בזמני השבתה בלתי צפויים ולמזער את ההשפעה על הפרודוקטיביות ואספקת השירות, התוכנית המתוקנת שלנו כוללת ניהול תקשורת משופר, הכוללת שכבות מרובות כדי להבטיח שכל העובדים מעודכנים היטב לגבי בעיות פוטנציאליות ופתרונן.

הערכה מחדש של תלות ספק יחיד במיוחד בענן

השיבוש הנרחב שנגרם כתוצאה מתקלת תוכנת CrowdStrike האחרונה, שהוביל להפסקה עולמית של מערכות Windows, עורר גלי הלם בקהילת ה- IT. עבור ה- CIO, האירוע משמש תזכורת מוחלטת לסיכונים המובנים הקשורים להסתמכות יתר על ספק יחיד, במיוחד בענן.

בזמן שהבעיה נפתרה, היא הדגישה את הפוטנציאל להשלכות קטסטרופליות כאשר רכיב אבטחה קריטי נכשל. זה אילץ את ה-CIO להטיל ספק בחוסן של סביבות הענן שלהם ולחקור אסטרטגיות חלופיות.

כשנושא בסדר גודל כזה מתרחש וגורם להפרעה כה גדולה, חשוב והכרחי לבחון מחדש את האמונות הקיימות, ההחלטות והפשרות הקיימות שלך שנכנסו לארכיטקטורה הנוכחית, יתכן שהתוצאה של הסקירה עדיין תהיה אותה החלטה אך נחוצה הבדיקה.

ארגונים ו-CISOs חייבים לבדוק את אסטרטגיות הענן שלהם, ויש להמנע מעדכון אוטומטי של תיקונים. כל התיקונים צריכים להיבדק תחילה על שרת בדיקה, כי למרות המוניטין של CrowdStrike , התקרית חשפה כשל אמון עקב תיקונים שלא נבדקו שגרמו לאפקט מדורג. גישה מגוונת לאסטרטגיות ענן יכולה להפחית סיכונים כאלה.

הדאגה העיקרית של מנהלי ה-CIO היא נעילת הספקים. ההסתמכות על ספק ענן יחיד, כפי שהוכח בתקרית CrowdStrike , יוצרת נקודת כשל אחת. אם שירות קריטי של אותו ספק מופרע, יכולות להיות לכך השלכות מרחיקות לכת על ארגון כולו. כדי להפחית את הסיכון הזה, מנהלי מערכות מידע צפויים לחקור ארכיטקטורות ענן multi cloud או היברידי, תוך הפצת עומסי עבודה על פני פלטפורמות מרובות.

האמינות של הכלים והשירותים שצוותי אבטחת סייבר משתמשים בהם היא קריטית לנוכח התקפות סייבר, אירוע כזה מטיל ספק באמינות הזו. זה ללא ספק מעורר שאלות וחששות מצד מנהלים לגבי איך להבטיח את אמינותן של מערכות ארגוניות, במיוחד עם טכנולוגיה המשולבת בתפעול היומיומי כמו תוכנת אבטחת סייבר.

התקרית חשפה את השבריריות של מערכות תלויות ענן שבהן לנקודת כשל אחת יכולה להיות השפעות מדורגות על פני ארגון.  האמון בין ספקי ענן ואבטחה מוטל כעת בספק. הפרת אמון זו עשויה להביא לדגש גבוה יותר על פתרונות ללא סוכנים, שיכולים להציע אבטחה משופרת ללא הפגיעויות הקשורות לסוכנים מסורתיים.

נוהלי ניהול סיכונים משופרים

התקרית הדגישה את הצורך בשיפור שיטות ניהול סיכונים. בדיקת נאותות משופרת, בדיקות קפדניות של עדכונים והשקה מדורגת הם כעת קריטיים. אירוע זה משמש כקריאת השכמה, המדגישה את הצורך בהתאמה ושיפור מתמשכים בפרקטיקות של אבטחת סייבר ברחבי התעשייה

נדרש מנגנון לבדיקת עדכונים עם משתמשים נבחרים לפני פרסומם המלא: צריך להיות מנגנון לבדיקה עם ארגונים מסוימים עם קבוצה של משתמשים לפני שחרור לכל הקהילה ולבסיס המשתמשים להפחית את ההשפעה.

ככל שהנוף הדיגיטלי מתפתח, הבטחת החוסן של מערכות מבוססות ענן היא חשיבות עליונה.לאירוע יש השלכות רחבות יותר על הכלכלה העולמית; זמני השבתה וזמני התאוששות ארוכים יותר ישפיעו על הפריון והכלכלה.

לסיכום

מומחים בתעשייה ממליצים על מספר אסטרטגיות להיערכות עתידית, כולל השקה מדורגת, בדיקות מקיפות ומערכות גיבוי חזקות. פריסה מדורגת ובדיקה יסודית של עדכונים יכלו למתן את ההשפעה, אם CrowdStrike היה פורס את ההעדכון בצורה מדורגת, ההשפעה הייתה פחותמ בהרבה.

ארגונים שמטרתם למנוע בעיות הדומות לתקרית עדכון CrowdStrike צריכות לחזק את ניהול העדכונים שלהן על ידי שיפור פרוטוקולי בדיקה בסביבות מגוונות, יישום הערכות סיכונים קפדניות וחיזוק תהליכי ניהול שינויים עם מסגרות ממשל חזקות.

חיזוק יכולות הניטור, חידוד תוכניות תגובה לאירועים המותאמות לתקלות עדכון וטיפוח קשרי ספקים יזומים הם חיוניים.

תקרית CrowdStrike מדגישה את הצורך של מנהלי מערכות מידע לבחון מחדש את אסטרטגיות הענן שלהם ולחזק אותן. על ידי הטמעת שיטות ניהול סיכונים חזקות, שיפור אמצעי האבטחה וגיוון פתרונות הענן, ארגונים יכולים להגן על עצמם טוב יותר מפני שיבושים עתידיים.

כאשר התעשייה מתמודדת עם ההשלכות של אירוע זה, ההתמקדות חייבת לעבור לכיוון בניית אסטרטגיות ענן גמישות, ניתנות להתאמה ובדוקות היטב כדי לנווט בנוף דיגיטלי מורכב יותר ויותר.