مراحل بازیابی شناسه های گارتنر برای قطع شدن «صفحه آبی» CrowdStrike

از روز جمعه، پس از به‌روزرسانی نرم‌افزار توسط فروشنده امنیتی CrowdStrike، سازمان‌ها برای راه‌اندازی و راه‌اندازی فعالیت‌های خود در تلاش هستند تا اپیدمی «صفحه‌های آبی مرگ» را در سطح جهانی ایجاد کند که معمولاً به عنوان صفحه مرگ برای کاربران ویندوز شناخته می‌شود.

روز دوشنبه، شرکت مشاوره فناوری جهانی گارتنر، یادداشتی تحقیقاتی منتشر کرد که در آن اقدامات کوتاه‌مدت، میان‌مدت و بلندمدتی را که کاربران CrowdStrike می‌توانند برای مقابله با آنچه که به‌روزرسانی از جهنم تبدیل شده است، اجرا کنند، منتشر کرد.

یکی از توصیه‌های این شرکت برای اقدام فوری این است که مطمئن شوید تیم‌های امنیتی در جستجوی اطلاعات تهدیدات جدید مرتبط با حملات فرصت‌طلب هستند. Sumed Barde، رئیس محصول در Simbian، یک شرکت امنیتی هوش مصنوعی در Mountain View، کالیفرنیا، توضیح داد: “در حالت وحشت، مردم شروع به چنگ زدن به نی ها می کنند.”

او به TechNewsWorld گفت: «آنها به دنبال هر گونه کمکی هستند که بتوانند آنلاین دریافت کنند. بنابراین آنچه که ما می بینیم این است که یک دسته از وب سایت های جعلی توسط کلاهبرداران ظاهر می شوند.

بارده توضیح داد که یکی از اشکال کلاهبرداری، وب سایتی است که هیچ کاری انجام نمی دهد، مگر اینکه پرداخت های اولیه را طلب می کند. وب سایت های دیگر مشاوره رایگان ارائه می دهند اما حاوی بدافزار هستند.

کریس مورالس، CISO در Netenrich، ارائه‌دهنده خدمات مرکز عملیات امنیتی در سن خوزه، کالیفرنیا، به چندین نوع حملات فرصت‌طلبانه اشاره کرد که سازمان‌ها باید در این دوره اولیه قطع CrowdStrike در حالت آماده‌باش باشند. او به TechNewsWorld گفت: «کمپین های فیشینگ بزرگ هستند. مهاجمان دوست دارند با ارسال ایمیل هایی که به نظر می رسد از طرف CrowdStrike یا شرکت های مرتبط هستند، از سردرگمی استفاده کنند.

او افزود: «پر کردن اعتبار و حملات بی رحمانه نیز رایج است، زیرا مهاجمان سعی می کنند از هرگونه شکاف امنیتی موقت سوء استفاده کنند.

او گفت: «و البته، همیشه این خطر وجود دارد که آسیب‌پذیری‌های شناخته‌شده با شدت بیشتری در طول هرج و مرج مورد هدف قرار گیرند.

پتانسیل برای افزایش باج افزار

این قطعی همچنین ممکن است به یک بلای آنلاین دیگر دامن بزند. تیم فریستون، مدیر ارشد استراتژی و افسر بازاریابی Kiteworks، ارائه‌دهنده ارتباطات محتوای امن در سان متئو، کالیفرنیا، گفت: «حملات باج‌افزار می‌تواند افزایش یابد زیرا مهاجمان از موقعیت‌های امنیتی ضعیف سازمان‌های آسیب‌دیده استفاده می‌کنند.

او به TechNewsWorld گفت: «تلاش‌ها برای استخراج داده‌ها ممکن است افزایش یابد و سیستم‌های موقتاً آسیب‌پذیر را هدف قرار دهد. این قطعی همچنین ممکن است الهام بخش حملات DDoS باشد تا شبکه‌های در حال حاضر تحت فشار را بیشتر تحت تأثیر قرار دهد.»

دعوت‌ها برای سوءاستفاده‌های فرصت‌طلبانه توسط هکرها نیز ممکن است ایجاد شود، زیرا تیم‌های مرکز عملیات امنیتی اقدامات موقت را برای عملیاتی کردن سریع سیستم‌ها اجرا می‌کنند.

جاش تورنگرن، یک استراتژیست امنیتی در ForAllSecure، یک تست امنیتی نرم افزار، مشاهده کرد: “یکی از بزرگترین چیزها برای SOCها این است که اطمینان حاصل شود که سیستم های موقت، ارتفاعات مجوز موقت یا سایر راه حل هایی که در محل قرار داده شده اند از کار افتاده اند.” شرکت در پیتسبورگ

او به TechNewsWorld گفت: «وقتی دو هفته بعد روی این دستگاه‌ها یا شبکه‌ها فعالیتی وجود داشته باشد، احتمالاً مشکل ایجاد می‌شود.

گارتنر همچنین توصیه هایی برای اقدامات میان مدت ارائه کرد. توضیح داده شده است: «تمرکز برای اقدامات میان‌مدت ارزیابی تأثیر بر سیستم‌های ثانویه، جستجوی آسیب‌پذیری‌های در معرض دید، و اطمینان از مشاهده به‌روزرسانی‌ها و نسخه‌های برنامه‌ریزی‌شده در سراسر سیستم در هفته آینده است».

مدیریت خستگی و فرسودگی شغلی

از جمله اقدامات میان مدت پیشنهاد شده توسط گارتنر این بود که سازمان ها ناهنجاری ها یا روندهای غیرعادی را با تیم های SOC بررسی کنند تا خطرات یک حمله فرصت طلبانه کشف نشده را به حداقل برسانند.

تیم‌های SOC باید مراقب مقادیر غیرعادی داده‌هایی باشند که به مخازن وارد می‌شوند یا از آنها خارج می‌شوند، درخواست‌های دسترسی بالاتر از حد معمول، کاربرانی که ظاهراً درخواست دسترسی به فایل‌ها یا درایوهایی دارند که معمولاً نمی‌خواهند یا نیازی به دسترسی به آنها ندارند، و کتی تیتلر-سانتولو، استراتژیست امنیت سایبری OX Security، توسعه‌دهنده پلتفرم‌های مدیریت وضعیت امنیتی برنامه‌های کاربردی فعال، در تل‌آویو، اسرائیل، گفت: هرگونه تغییر در مجوزها یا پیکربندی‌هایی که با خطوط پایه یا روندهای قبلی مطابقت ندارند.

او به TechNewsWorld گفت: «تیم‌های فناوری اطلاعات و امنیت همچنین می‌توانند با افزودن دامنه‌های جعلی شناخته شده، مانند crowdstrikebluescreen(.)com یا crowdstrike-helpdesk(.)com، به سازمان‌های خود کمک کنند تا از بازدید ناخواسته کاربران از آن سایت‌ها جلوگیری کنند.

یکی دیگر از اقدامات میان مدت پیشنهاد شده توسط گارتنر، مدیریت فعال فرسودگی و خستگی کارکنان است. جان آماتو، تحلیلگر ارشد گارتنر، خاطرنشان کرد: «این قطعی فراتر از تیم‌های امنیتی است، زیرا همه دستگاه‌های یک شرکت را لمس می‌کند.

او به TechNewsWorld گفت: «این یک فرآیند پرزحمت، زمان‌بر و خسته‌کننده ایجاد می‌کند. «کارکنان میز کمک در اکثر مشاغل در حال حاضر تا حد شکست تحت فشار هستند. من در مورد شرکت هایی می شنوم که ارتش پیمانکاران را استخدام می کنند تا ماشین ها را لمس کنند و 24/7 کار می کنند. هرچه این مدت طولانی‌تر باشد، احتمال بروز خستگی بیشتر می‌شود. این یک دستورالعمل برای فرسودگی شغلی است.»

مورالس توضیح داد که فرسودگی و خستگی در رویدادهایی مانند قطع CrowdStrike مسائل بزرگی هستند و اغلب نادیده گرفته می شوند. او گفت: «درباره آن فکر کن. «تیم‌های امنیتی ما به طور ناگهانی با افزایش شدید حجم کار مواجه می‌شوند. آنها در حال تلاش برای مدیریت واکنش به حادثه هستند و در عین حال تمام عملیات منظم را ادامه می دهند. این مانند تلاش برای خاموش کردن آتش در حین پختن شام است.»

او ادامه داد: “این نوع استرس طولانی مدت می تواند منجر به خستگی جدی در تصمیم گیری شود، جایی که کیفیت انتخاب ها شروع به کاهش می کند.” “کارمندان خسته ممکن است هشدارهای مهم یا نشانه های ظریف حمله را از دست بدهند.”

او افزود: «و اجازه دهید با آن روبرو شویم، ما همه انسان هستیم – وقتی خسته شدید، احتمال اشتباه کردن به شدت افزایش می‌یابد. یک خطای کوچک می‌تواند منجر به پیکربندی نادرست یا پاسخ تاخیری شود، و ناگهان، مشکل بسیار بزرگ‌تری در دستانمان باشد.»

تاب آوری برای بلندمدت

هدف اقدامات طولانی مدت گارتنر کاهش یا کاهش خطر رویدادهای آینده مانند رویداد CrowdStrike است. گارتنر خاطرنشان کرد: «قطع CrowdStrike نیاز به تمرکز بر انعطاف‌پذیری را تقویت می‌کند و توصیه می‌کند، «از یک رویکرد از بالا به پایین برای اتصال رویکرد به اهداف کلی استراتژیک استفاده کنید».

موریس اونوما، معاون رئیس جمهور و ژنرال، گفت: «با وجود تمام تلاش‌هایی که برای جلوگیری از تکرار چنین اشتباهاتی انجام می‌شود، باید پیش‌بینی کنیم که این خطاهای آبشاری در سال‌های آتی با افزایش بیشتر و مرتبط‌تر شدن جهان به یکدیگر و به هم وابسته‌تر شدن آن‌ها، فراوانی و تأثیر خود را افزایش دهند.» مدیر گروه فناوری بلانکو، یک شرکت جهانی که متخصص در پاک کردن داده ها و تشخیص دستگاه های تلفن همراه است.

او به TechNewsWorld گفت: «به همین دلیل، ما باید بر انعطاف‌پذیری تمرکز کنیم – توانایی زنده ماندن و بهبودی در زمان وقوع بحران اجتناب‌ناپذیر.

او توضیح داد: «تاب‌آوری با داشتن راه‌های جداگانه و اضافی برای انجام وظایف حیاتی، تضمین پشتیبان‌گیری مداوم از داده‌ها، ایجاد کانال‌های ارتباطی جایگزین و تمرین برای عملکرد با قابلیت‌های کاهش‌یافته در شرایط نامطلوب به دست می‌آید».

جنا ولز، مدیر ارشد مشتری و مدیر محصول در Supply Wisdom، یک پلتفرم اطلاعات ریسک بلادرنگ در شهر نیویورک، افزود: «اگر شرکت‌ها می‌خواهند انعطاف‌پذیرتر باشند، ابتدا باید نظارت کامل و آگاهی از زنجیره تأمین خود داشته باشند».

او به TechNewsWorld گفت: “اگر نظارت کامل و آگاهی از زنجیره تامین خود داشته باشید، با دانستن نقاط شکست خود در زمان صرفه جویی می کنید و انعطاف پذیری خود را افزایش می دهید.” “سپس می توانید به طور فعال یک برنامه تداوم کسب و کار را برای زمانی که رویدادها اتفاق می افتند ایجاد کنید.”

او گفت: “چه این یک رویداد سایبری باشد – یا مانند این مورد، یک خطای انسانی – شما باید بتوانید در هر نوع حادثه ای با یک ضربه انگشت واکنش نشان دهید.” «به هر حال، اگر اتفاقی بیفتد، اینطور نیست.»

منبع