CrowdStrike 事件：給資安服務供應商的觀點與學習

近期 CrowdStrike 更新引發的 Microsoft Windows 當機事件，在資安服務供應商（MSSP）、管理服務供應商（MSP）以及整個資安界引起廣泛討論，主要聚焦於資安韌性及此事件帶來的巨大營運、財務和法律影響。

資安專家指出，此事件造成 850萬台 Windows機器「藍屏當機」，突顯了過度依賴單一廠商可能「真正癱瘓組織」的風險。這不僅包括因劣質程式碼導致的 Windows系統癱瘓，還涉及潛在的駭客入侵威脅。

重視網路韌性

網路韌性不僅是擁有最先進的工具，更意味著組織在某個工具失效時仍能維持充分的資安防護和正常運作。但當資安工具之間的相互依賴性比預期更高時，MSSP 要如何實現有效的工具備援呢？

許多內部資安團隊在思考韌性時，會考慮如何在設備離線的情況下仍能操作它們。例如，如果有多種儲存方式，我們該如何存取？如果我們的 AD（Active Directory）故障了，又該如何應對？

值得注意的是，在這次事件中， CrowdStrike自身的機制反而阻擋了裝置管理工具移除有問題的檔案，因為該檔案是 CrowdStrike套件的一部分。

專家指出，這就是為什麼真正的 XDR（延伸偵測與回應）解決方案扮演關鍵角色，成為各種日誌和可見性的中心。而新世代 SIEM（安全資訊與事件管理）則是獲得全面可見性的關鍵。透過這些工具，可以整合所有資訊，進行關聯分析，將數據標準化，並以統一的格式進行檢視。

財務與法律衝擊

根據媒體報導，CrowdStrike 將提供客戶約 60 億台幣的信用額度以挽留客戶，但這可能只是冰山一角，無法完全彌補客戶的損失。公司也下修了全年獲利預期，減少約 26 億至 33 億台幣。儘管如此，CrowdStrike 仍預計全年營收將達 1170 億台幣。

然而，單純提供信用額度恐怕難以平息受影響客戶的不滿。根據最新消息，知名律師事務所已向投資者發出通知，表示已對 CrowdStrike 提出集體訴訟。這項訴訟代表 2023 年 11 月 29 日至 2024 年 7 月 29 日期間購買或取得 CrowdStrike 股票的個人和企業，指控該公司涉嫌違反美國聯邦證券法，並要求賠償。此法律行動不僅凸顯資安事件可能帶來的嚴重法律後果，也警示企業在選擇資安解決方案時需更加謹慎。

此次系統中斷造成的影響十分廣泛，不僅導致全球航班大亂，連銀行、醫療院所、媒體公司和連鎖飯店等各行各業都受到波及。更甚者，許多網路服務也因此受到干擾，凸顯出資安事件對現代社會的巨大衝擊。

本文轉載自MSSP Alert。