近期 CrowdStrike 的 Falcon 感測器更新故障導致的全球 IT 系統停機事件,突顯了在當今複雜的科技環境中,擁有強大端點防護 (Endpoint Protection)是關鍵的需求。這次事件影響了大約 850 萬台 Windows 設備,顯示了潛在的漏洞及帶來的重大經濟影響。是次事件造成了 Fortune 500 企業約 54 億美元的直接損失,其中以醫療、銀行和航空業受到的影響最為嚴重,預計網絡保險公司將面臨從 4 億美元到 15 億美元不等由業務中斷引起的索賠。Crowdstrike事件強調了全面災難恢復計劃 (Disaster Recovery Plan) 的重要性,而企業亦需要重新評估其網絡安全策略。
香港網絡安全事故協調中心 (HKCERT) 提醒有黑客藉CrowdStrike故障事件發動惡意軟件的攻擊活動,例如使用假冒的CrowdStrike恢復手冊、假冒的補救方案以及軟件更新等方式傳送未經識別的惡意軟件,已知的攻擊手法如下:
- 假冒修復手冊:假裝是 Microsoft 修復指南來欺騙人們打開它們,透過包含巨集的 Word 文件傳播惡意程式以竊取敏感信息
- 假冒補救方案:通過網絡釣魚網站和假冒的內聯網門戶來散播假冒的 CrowdStrike 熱修復程序,使系統受感染,黑客可用遠程訪問工具控制
- 假冒 CrowdStrike 更新:網絡釣魚電子郵件包含一個鏈接,下載一個 ZIP 檔案包含了名為 「Crowdstrike.exe」 的可執行檔以摧毀設備上的數據。
對企業的建議
- 制定N-1,N-2的軟件部署策略:此舉可有助企業通過保留關鍵軟件的舊版本以及最新更新來確保系統穩定性,為防止故障更新提供緩衝。
- 使用多個網絡安全方案:分散網絡安全解決方案可減少對單一供應商的依賴,增強對供應商服務問題的抵禦能力。
優點:降低單點故障風險,能夠利用不同解決方案的各自優勢。
缺點:管理多個系統的複雜性增加,潛在整合挑戰。
Amidas Hong Kong – 您信賴的網絡安全顧問
Amidas了解現代 IT 環境的複雜性和端點安全的重要性。作為 2023 和 2024 年香港微軟年度安全獲獎夥伴,證明我們有能力幫助企業應對這些挑戰。我們專注於企業端點安全遷移,特別是金融服務和關鍵基礎設施等領域。憑藉管理超過 20,000 個端點遷移的經驗,我們提供專業建議以確保並將遷移影響降至最低。
與我們聯繫以了解更多資訊並做出正確的決定。
電話:2168 0388
Whatsapp: 9828 3401