Hvad CrowdStrike lærer os om Supply Chain Management
Indholdsfortegnelse:
Sommerens globale it-udfald, som tog millioner af computere og jordforbundne flyselskaber verden over, viste, hvor svært det er at styre en moderne digital forsyningskæde. Kan effektiv kunderisikostyring hjælpe med at lukke hullerne?
Den 19. juli begyndte rapporter at dukke op om et massivt nedbrud i Windows-systemer, der spredte sig over flere brancher. Endpoints var nede og kunne ikke genstarte korrekt, hvilket førte til det mest betydelige it-udfald i historien. Problemet stammede fra en logisk fejl i en opdatering af CrowdStrikes sikkerhedssoftware, som sænkede 8.5 millioner systemer, ifølge Microsoft. Genopretning var en kompleks, manuel proces. Sammen med de aflyste flyvninger led bankkunder og sundhedspatienter også, da udfaldet påvirkede finansielle transaktioner og endda forsinkede kirurgiske indgreb.
"Den nylige hændelse forstærker, hvordan voksende afhængighed af sammenkoblede it-systemer har udvidet risikooverfladen," sagde Mark E. Green, formand for House Homeland Security Committee, som vil høre vidnesbyrd fra CrowdStrike den 24. september. Det er sværere end nogensinde at styre forsyningskæderisici, ikke kun i betragtning af størrelsen af disse kæder, men kompleksiteten af de softwareprodukter og processer, de leverer.
"Fortalte dig det" siger GAO
US Government Accountability Office kan ikke lide at sige, at det fortalte dig det, men vil også gerne minde dig om, at det gjorde det. I en blogindlæg efter hændelsen påpegede den stærke ligheder mellem denne utilsigtede fejl og cyberangrebet, der kompromitterede SolarWinds og dets kunder i 2020.
Siden maj 2010 har GAO fremsatte 1610 anbefalinger spænder over fire cybersikkerhedsudfordringsområder. En af disse – etablering af en omfattende cybersikkerhedsstrategi og udførelse af effektivt tilsyn – er det primære fokusområde for forsyningskæderisiko. I en rapport fra juni om regeringens bestræbelser på at mindske cyberrisikoen sagde GAO, at agenturer har undladt at implementere 43% af anbefalingerne på dette område.
Styring af en konsolideret forsyningskæde
"Den føderale regering er nødt til at træffe foranstaltninger for at udføre effektivt tilsyn, herunder overvågning af den globale forsyningskæde," tilføjede GAO i sin rapport. Men hvordan implementerer man effektivt tilsyn med en magtfuld virksomhed, der kontrollerer brorparten af markedet?
Dan Geer, der bidrog til X Windows-systemet og Kerberos og nu er senior fellow hos In-Q-Tel, udforskede berømt, hvordan teknologimonokulturer påvirker sikkerheden i sin rapport fra 2003 Cyberusikkerhed: Omkostningerne ved monopol. Det ramte nok nerver i virksomhedens teknologi til, at han blev fyret dagen efter offentliggørelsen.
21 år senere og en uge efter CrowdStrike-afbrydelsen, han mindede os om af problemet:
"Vi ved, at beskyttende redundans ikke bare sker, og vi ved, at en jillion enheder alle giver ingen beskyttelse overhovedet, men snarere det modsatte," sagde han. "Vi ved, at kilden til risiko er afhængighed, og vi ved, at den samlede risiko er proportional med den samlede afhængighed."
Som Geer påpeger, er markedskonsolidering, der producerer jillioner af enheder alle ens, en økonomisk tendens. Windows har over 70 % af markedet for desktop-operativsystemer, og to virksomheder – Microsoft og CrowdStrike – ejer 44 % af endpoint-beskyttelsesmarkedet mellem sig.
Denne tendens er ikke vendt siden 2003. Den vil heller ikke vende tilbage i fremtiden. Der er mange grunde til, at virksomheder vælger den samme software som deres jævnaldrende, lige fra tilgængelighed (antallet af tilgængelige løsninger konsolideres over tid) til risikoaversion (ingen blev nogensinde fyret for at købe IBM) og håndterbarhed (det er nemmere at administrere og supportere) en flåde på tusinde Windows-maskiner end et udvalg af forskellige endpoint-operativsystemer).
Uden tvivl gør store virksomheder deres bedste for at følge bedste praksis for cybersikkerhed, men der opstår fejl. Den amerikanske regerings Cyber Safety Review Board fundet at Microsofts sikkerhedskultur var "utilstrækkelig og kræver en overhaling", efter at cyberkriminelle hackede dets systemer og kompromitterede en kryptografisk nøgle, der gav dem adgang til ledende medarbejderes konti. CrowdStrike, mens passende selvudslettende så længe det koster ikke for meget, udgav en buggy-opdatering, som den ikke kunne fange.
Microsoft og CrowdStrike holdt et lukket møde den 10. september for at diskutere, hvordan de kan undgå, at denne slags ting sker igen. De diskuterede foranstaltninger såsom at stole mindre på kernetilstand, hvor buggy-software kan forårsage den ekstreme skade, der blev set i juli. Som CrowdStrike forklarer, der kræver noget arbejde fra Microsofts side.
CrowdStrike sagde også, at det nu ville følge andre foranstaltninger, såsom at bruge canary releases - en grundlæggende bedste praksis for skaleret implementering - for at begrænse skader på et mindre antal maskiner.
Selvom det er prisværdigt, at så store virksomheder lærer disse lektioner nu, er det bekymrende, at de gør det på deres kunders skilling.
Hvad kunderne kan gøre ved det
Det er vigtigt at følge leverandørstyringskontroller som dem i ISO 27001 bilag A 5.22, men som ISMS.online siger, så er det vigtigt at være pragmatisk omkring, hvor stor indflydelse man kan have på en stor leverandør.
Ikke desto mindre har ISO 27001 meget at tilbyde med hensyn til beredskab til hændelser. Det begynder med planlægning af risiko gennem grundig vurdering, som skitseret i ISO 27001 paragraf 6. Det giver også værdifuld vejledning i Kontrol 5.30, som forbereder organisationer på forretningskontinuitet i tilfælde af et problem.
Disse praksisser beskytter muligvis ikke en virksomhed mod en større hændelse opstrøms i forsyningskæden, men de kan hjælpe med at minimere virkningen af sådanne hændelser downstream og hjælpe med at opretholde tjenester til kunder og forretningspartnere.
