资安业者CrowdStrike于7月19日因为EDR软体更新出包,造成许多微软电脑和伺服器出现蓝色当机画面(BSOD)。也有匿名高科技制造业资安主管表示,勒索软体做不到的事情(企业电脑大规模当机),CrowdStrike做到了。另外也有不少Line资安群组,纷纷以CrowdStrike官网「62分钟就能让您的企业停止运作」的网路页面,反讽CrowdStrike真的做到让企业停止运作了。
盘点过台湾CrowdStrike引发的电脑当机灾情后,有许多资安长坦言,采用云端服务的趋势不可逆,对于已经是CrowdStrike的用户并发生大规模灾情,有高科技业资安主管已经考虑明年不再续约;但对于正在评估是否采购CrowdStrike产品的企业而言,CrowdStrike的应变方式和对客户的补偿方式等,则是他们后续评估是否采购的重要关键。
受波及业者思考是否续约,视为一次紧急应变团队演练机会
有匿名高科技业资安主管表示,该公司大量部署CrowdStrike的EDR产品,这次造成电脑和伺服器当机,连总经理都时时跟进资安部门处理当机电脑的复原进度,原本是保护公司资讯资产的资安产品,成为资讯资产的资安破口。「面对明年CrowdStrike的采购,将考虑不再续约。」他说。
另外一名匿名高科技制造业资安长表示,该公司此次有十八台安装关键服务的微软伺服器受害,幸好第一时间就紧急处理完毕,加上并没有牵连到其他Linux主机,不然应该是系统性大灾难。
该名高科技制造业资安长表示,若正面思考、往好处想想,这次事件刚好让公司的紧急应变团队做一次实战演练,也可以验收紧急应变团队运作的成熟度。
当然,该名资安长坦言,该起事件必然会对该公司未来的采购决策产生影响。
他说,首先,该公司将对CrowdStrike的信誉和产品可靠性进行重新评估;其次,该公司将更加关注供应商的更新和测试流程,确保未来类似事件的风险降到最低。此外,资安长也说,未来也会考虑采用多元化的供应商策略,避免对单一供应商的过度依赖,从而提高该公司的整体风险管理能力。
总结来说,他表示,从这次事件提醒,企业在选择和管理云端资安服务时,需要更加谨慎,并加强内部的应急处理和测试流程,以保障系统的稳定性和安全性。
进行产品POC的金融业者,选择暂停POC
匿名的金融业资安长表示,因为该公司正好在对CrowdStrike进行POC(概念验证),产品安装在测试区环境中,所幸没有影响正常服务。电脑当机的灾情爆发后,该资安长已经先请同仁暂停POC,并看后续状况来调整POC的方式。
另外一位金融业资安长表示,该公司刚好针对CrowdStrike的EDR产品进行POC,包括签核伺服器、邮件伺服器都受到影响,数量很多,但处理即时,后遗症不大。不过,他也认为,这次的资安事件也是一个好的资安演练机会,但是否有受害就需要发布重讯,他认为,应该还是要看受害范围,有没有影响公司的正常营运决定重讯发布与否。
资安长也指出,资安部门不管在安装、执行任何程式时,都会遇到各种资安工具的碰撞,都必须再三实测、不能中断。关于这次爆发的软体更新出包,他认为,云端服务出包是可以预期的,不能因咽废食而不使用云端服务;他也学到,所有的软体更新都必须在测试区再三确认后,才会循序渐进的派送到正式上线区。
匿名营建业资安长表示,在爆发CrowdStrike灾情时,他庆幸当初选择另外一家竞争品牌,有一个原因在于他想要深化和某个资安公司的连结,可以在管理上、预算上,甚至技术支援等等,可以提供比较有弹性、全面性且更有深度的合作。
另外一位匿名高科技制造业资安长也说,从这次灾情学到,未来所有的软体更新都要经过验证程序并作冲击评估后才能上线,该公司虽然没有选择CrowdStrike的产品,但他不讳言,该公司的危机应变以及后续的处理,将会是未来评估资安供应厂商做的参考。