Trarre insegnamento da CrowdStrike: best practice per la resilienza IT
Il 19 luglio 2024 un aggiornamento del software Falcon Sensor di CrowdStrike ha provocato un crash mondiale senza precedenti dei computer Windows. Innumerevoli sistemi utilizzati per funzioni aziendali essenziali hanno mostrato la “blue screen of death” (BSOD) causando gravi interruzioni presso compagnie aeree, banche, ospedali e molte altre organizzazioni. Il nostro team ha sviluppato rapidamente una soluzione efficace ed efficiente per i clienti di baramundi. Di seguito sono riportate le misure che ogni organizzazione può adottare per migliorare la resilienza IT e accelerare il ripristino da incidenti gravi in futuro. Con le giuste misure preventive, l'impatto di questi incidenti può essere ridotto in modo significativo.
Breve e conciso
- Utilizza l'infrastruttura PXE per avviare i computer interessati in WinPE in modo da poter modificare la partizione di sistema e implementare le correzioni necessarie.
- Gestisci le chiavi di ripristino BitLocker per un accesso rapido e sicuro alla decriptazione dei sistemi in fase WinPE utilizzando strumenti come il modulo baramundi Defense Control.
- Esegui test approfonditi prima della distribuzione per evitare effetti negativi sui sistemi.
- Crea, comunica e metti in pratica un piano di ripristino che includa misure preventive (ad esempio, backup, monitoraggio) e azioni di risposta agli incidenti in caso di emergenza.
Garantire la propria capacità di agire
Per agire e attuare un ripristino il più rapidamente possibile si consiglia di adottare le seguenti misure:
- Se possibile, utilizzare un'infrastruttura PXE per avviare i client interessati nell'ambiente WinPE.
- Personalizzare l'immagine di avvio di WinPE seguendo i passaggi inclusi nel processo di correzione che abbiamo creato per l'incidente CrowdStrike.
- Per consentire un ripristino più veloce, gestire le chiavi di ripristino BitLocker per un accesso rapido e sicuro utilizzando strumenti come baramundi Defense Control.
Pianificare, comunicare e testare le risposte agli incidenti
Per rafforzare la resilienza dell'azienda, ti consigliamo di preparare un piano di risposta agli incidenti con istruzioni dettagliate su cosa fare in caso di crisi.
Verificalo regolarmente e aggiornalo se necessario per affrontare i potenziali punti deboli e garantire che tutti i soggetti coinvolti sappiano cosa fare.
Inoltre, educa i dipendenti sull'importanza della sicurezza IT e sul motivo per cui esistono determinate politiche e procedure. Spiega come le giuste pratiche possono
prevenire gli incidenti e aiutare ogni reparto a rispondere efficacemente in caso di crisi. I passi da compiere includono la creazione di canali di comunicazione alternativi, liste
di contatti di emergenza stampate e attrezzature di riserva.
Regolari controlli di sicurezza
Esegui controlli di sicurezza regolari in modo da poter identificare e risolvere potenziali vulnerabilità prima che diventino un problema. Ad esempio, i penetration
test o pentest condotti da un hacker "white-hat" possono evidenziare vulnerabilità non rilevate. Si consiglia inoltre di effettuare regolarmente scansioni di
vulnerabilità per esaminare gli endpoint alla ricerca di lacune di sicurezza note, utilizzando strumenti come baramundi Vulnerability Scanner.
Abbi sempre un piano B. Nonostante tutte le misure precauzionali, un guasto può verificarsi in qualsiasi momento. In questi casi, è importante essere in grado di reagire rapidamente.
Assicurati di avere risorse sufficienti per far fronte a un incidente. Per esempio, il tuo piano B potrebbe includere la creazione di un team di risposta dedicato agli incidenti di
sicurezza addestrato a rispondere alle violazioni dei dati. È inoltre opportuno disporre di un piano di disaster recovery ben documentato che illustri le fasi di
ripristino dei dati e dei servizi dopo un incidente. Ricorda che la prevenzione è la chiave per ridurre al minimo i rischi informatici e garantire il regolare funzionamento. La baramundi Management Suite integra strumenti per configurare, testare e
automatizzare in maniera efficiente la distribuzione degli aggiornamenti di Windows, Microsoft e applicazioni di terze parti.
Infine, anche se hai già adottato queste e altre misure di prevenzione e ripristino, l'interruzione di CrowdStrike dovrebbe indurti a rivederle. Prendi seriamente in considerazione scenari
del tipo "cosa succede se?", le risposte e gli strumenti che possono rafforzare o ampliare le misure esistenti. Ad esempio, le valutazioni della vulnerabilità dovrebbero esaminare anche i
potenziali punti di guasto singoli, le connessioni meno sicure con i fornitori e altri fattori. In questo modo avrai l'opportunità di affrontare i problemi in modo proattivo e di rimanere
un passo avanti rispetto ai nuovi e potenzialmente più stringenti requisiti di cybersicurezza e continuità aziendale imposti dalle autorità di regolamentazione e dagli assicuratori.
Gestione sicura e affidabile degli aggiornamenti
Gli aggiornamenti regolari del software aiutano le organizzazioni di tutte le dimensioni a ridurre i rischi per la sicurezza. Tuttavia, gli aggiornamenti possono anche causare problemi che vanno da incompatibilità inaspettate a crash gravi come quello provocato dall'aggiornamento di CrowdStrike. Con una combinazione di preparazione, pianificazione e giusti strumenti, è possibile ridurre al minimo l'impatto degli aggiornamenti difettosi e mettere in atto un ripristino più rapido quando si verificano i problemi.
