Lekcje z awarii CrowdStrike: najlepsze praktyki w zakresie budowania odporności IT
19 lipca 2024 r. aktualizacja oprogramowania sensora Falcon firmy CrowdStrike spowodowała awarię komputerów z systemem Windows na całym świecie. Niezliczone systemy mające kluczową funkcję biznesową wyświetlały niebieski ekran śmierci (BSOD), powodując poważne zakłócenia w liniach lotniczych, bankach, szpitalach i wielu innych organizacjach. Nasz zespół szybko opracował skuteczne i wydajne rozwiązanie dla klientów baramundi. W efekcie, byliśmy w stanie pomóc dwóm naszym głównym klientom w przywróceniu do pracy łącznie 26 000 urządzeń końcowych tego samego dnia. Poniżej przedstawiamy kroki, które każda organizacja może podjąć, aby poprawić odporność IT i przyspieszyć odzyskiwanie systemów po poważnych incydentach w przyszłości. Dzięki odpowiednim środkom zapobiegawczym można znacznie ograniczyć skutki takich incydentów.
W skrócie
- Wykorzystaj infrastrukturę PXE, aby uruchomić w systemie WinPE dotknięte błędem komputery, co umożliwi edycję partycji systemowej i wdrożenie niezbędnych poprawek.
- Zarządzaj kluczami odzyskiwania BitLocker, aby uzyskać bezpieczny i szybki dostęp do odszyfrowania systemu w fazie WinPE za pomocą narzędzi takich jak baramundi Defense Control Module.
- Przeprowadź dokładne testy przed wdrożeniem, aby uniknąć negatywnego wpływu na systemy.
- Opracuj, zakomunikuj i przećwicz plan odzyskiwania, uwzględniając środki zapobiegawcze (np. kopie zapasowe, monitorowanie) oraz reakcję na incydenty w sytuacjach awaryjnych.
Zapewnij sobie zdolność do działania
Aby jak najszybciej przywrócić system do sprawności, sugerujemy zastosowanie następujących rozwiązań:
- Jeśli to możliwe, użyj infrastruktury PXE do uruchomienia w WinPE klientów wymagających interwencji.
- Dostosuj obraz rozruchowy WinPE zgodnie z krokami opisanymi w opracowanych przez nas zaleceniach postępowania dla incydentu CrowdStrike.
- Aby umożliwić szybsze odzyskiwanie, zarządzaj kluczami BitLocker, które zapewnią szybki i bezpieczny dostęp. Wykorzystaj do tego narzędzia taki jak baramundi Defense Control.
Planuj, komunikuj i sprawdzaj reakcje na incydenty
Aby wzmocnić odporność firmy, zalecamy przygotowanie planu reagowania na incydenty z instrukcjami dotyczącymi postępowania w przypadku kryzysu. Systematycznie testuj i
poprawiaj plan, aby wyeliminować słabe punkty i upewnić się, że każdy wie, co ma robić.
Dodatkowo, edukuj pracowników na temat znaczenia bezpieczeństwa IT oraz powodów istnienia określonych polityk i procedur. Wyjaśnij, jak odpowiednie praktyki mogą zapobiegać
incydentom i pomóc każdemu działowi skutecznie reagować w sytuacjach kryzysowych. Plan powinien obejmować ustanowienie alternatywnych kanałów komunikacji, przygotowanie
wydrukowanych list kontaktów awaryjnych i zapasowego sprzętu.
Regularne kontrole bezpieczeństwa
Przeprowadzaj regularne kontrole bezpieczeństwa, aby móc zidentyfikować i naprawić potencjalne luki w systemach IT, zanim staną się one problemem. Na przykład testy
penetracyjne (pentesty) przeprowadzane przez etycznych hakerów mogą ujawnić niewykryte wcześniej luki w zabezpieczeniach. Zalecamy również regularne skanowanie punktów
końcowych pod kątem znanych luk w zabezpieczeniach za pomocą narzędzi takich jak baramundi Vulnerability Scanner.
Pomimo wszelkich środków ostrożności, awaria może wystąpić w dowolnym momencie. Dlatego zawsze miej plan B. Upewnij się, że masz wystarczające zasoby, aby w takich przypadkach móc szybko
reagować na incydent. Na przykład, Plan B może obejmować powołanie dedykowanego zespołu, który jest przeszkolony w temacie naruszeń bezpieczeństwa danych. Warto również
posiadać dobrze udokumentowany plan działania po awarii, który określa kroki potrzebne do przywrócenia danych i usług po incydencie. Pamiętaj, że zapobieganie jest kluczowe
dla minimalizowania ryzyka i zapewnienia płynnego działania systemów IT. Pakiet baramundi Management Suite integruje narzędzia do wydajnej konfiguracji, testowania i automatyzacji dystrybucji aktualizacji Windows, Microsoft oraz aplikacji innych
firm.
Nawet jeśli masz już wdrożone te i inne środki zapobiegawcze i przywracania, awaria CrowdStrike powinna skłonić cię do ich ponownej oceny. Poważnie rozważ scenariusze "co by było gdyby?",
czy reakcje i narzędzia, które mogą wzmocnić lub rozszerzyć istniejące rozwiązania prewencyjne. Na przykład, oceny podatności powinny również badać potencjalne punkty awarii, mniej
bezpieczne połączenia z dostawcami i inne czynniki. Da ci to możliwość proaktywnego podejścia do zagrożeń, wyprzedzenia nowych i potencjalnie bardziej rygorystycznych wymagań dotyczących
cyberbezpieczeństwa i ciągłości działania, stawianych przez organy regulacyjne i ubezpieczycieli.
Solidne i bezpieczne zarządzanie aktualizacjami
Regularne aktualizacje oprogramowania pomagają organizacjom każdej wielkości zmniejszać ryzyka dla bezpieczeństwa cyfrowego. Aktualizacje mogą jednak również powodować problemy, od niespodziewanych niekompatybilności po poważne awarie, jak te wywołane aktualizacją CrowdStrike. Dzięki odpowiedniemu przygotowaniu, planowaniu i narzędziom, można zminimalizować wpływ wadliwych aktualizacji i szybciej odzyskać sprawność w przypadku wystąpienia problemów.