CrowdStrike网络安全事件简析及安全管理控制措施

网络安全公司CrowdStrike软件更新引发了全球性Windows设备崩溃事件。该事件源于一个名为“Channel File 291”的内容验证问题,一个人的失误导致了数百万台Windows设备受到影响。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:外部黑客都搞不出的危害,内部威胁的一个简单的变更失误就能达成,强烈的对比即具讽刺意味又值得人们反思。

根本原因分析

此次事件的根本原因在于CrowdStrike引入了一个新的Template Type,旨在提高对滥用命名管道和其他Windows进程间通信(IPC)机制的新攻击技术的可见性和检测能力。然而,在实施过程中出现了参数数量不匹配的问题,即Content Validator通过IPC Template Type传递给Content Interpreter的输入参数数量不一致。具体来说,Content Validator传递了21个输入参数,而Content Interpreter只期望接收20个。

由于在测试阶段未能发现这一不匹配,导致在7月19日推送的Channel File 291更新中出现了问题。当传感器接收到含有问题内容的新版本Channel File 291时,它们暴露于Content Interpreter的一个潜在越界读取问题中。当操作系统发出下一个IPC通知时,新的IPC Template Instances被评估,并尝试比较第21个输入值,而Content Interpreter只期望接收20个值。因此,尝试访问第21个值导致了越界内存读取,超出了输入数据数组的边界,最终导致系统崩溃。

安全管理控制措施

为了防止类似事件再次发生,CrowdStrike采取了以下措施:

  1. 编译时验证输入字段数量:在编译传感器时验证Template Type中的输入字段数量。
  2. 运行时输入数组边界检查:添加运行时输入数组边界检查,以防止Content Interpreter进行越界内存读取。
  3. 修正输入参数数量:修正IPC Template Type提供的输入参数数量。
  4. 增加测试覆盖率:在开发Template Type时增加测试案例,特别是非通配符匹配条件的测试。
  5. 修改Content Validator:增加新的检查,确保Template Instances的内容不会包含超过Content Interpreter期望输入数量的匹配条件。
  6. 更新Content Configuration System:更新测试程序,确保每个新的Template Instance都经过测试。
  7. 增强部署层和接受检查:增加额外的部署层和接受检查。
  8. 客户控制权增强:更新Falcon平台,为客户提供更多控制权,以便他们能够自主决定Rapid Response Content的交付。
  9. 第三方审查:聘请两家独立的第三方软件安全供应商进行代码审查,以确保安全性和质量。
  10. 与微软合作:与微软合作,探索新的安全功能实现方式,减少对内核驱动程序的依赖。

信息安全的人因要素

此次事件凸显了信息安全领域中的人因要素的重要性。虽然技术问题是根本原因,但缺乏全面的测试和验证流程、以及未能及时识别和修复问题也起到了推波助澜的作用。这表明即便是在高度专业化的安全公司中,人因要素也不容忽视。

网络安全培训内容

为了提高员工的安全意识,组织可以提供以下方面的培训:

  • 基础网络安全概念:包括网络安全威胁模型、常见攻击方法等。
  • 安全最佳实践:如使用复杂密码、双因素认证等。
  • 安全政策与规程:确保员工熟悉组织的安全政策和操作规程。
  • 社交工程学防御:识别和抵御社会工程学攻击。
  • 应急响应流程:了解在遭遇安全事件时的应急响应步骤。
  • 持续教育与更新:定期更新安全知识,了解最新的威胁趋势。

为了帮助企业加强员工的安全意识,昆明亭长朗然科技有限公司提供了一套全面的安全意识培训解决方案,包括:

  • 定制化培训计划:根据组织的具体需求量身定制。
  • 交互式模拟:通过模拟真实的攻击场景来提高员工的实战经验。
  • 持续教育平台:提供在线课程、案例分析和定期更新的安全资讯。
  • 合规性监测工具:帮助组织确保员工遵守相关的安全政策和法规。

通过我们的解决方案,组织可以有效地提高员工的安全意识,减少因人为失误而导致的安全事件,从而保护组织的信息资产和声誉。如果您对该方案感兴趣,欢迎不要客气地联系我们。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

JD Sports数据泄露事件的根源分析

2023 年 1 月,英国运动服饰零售商 JD Sports 遭遇网络攻击,导致 1000 万客户的个人和财务信息可能被黑客窃取。泄露的数据包括姓名、地址、电子邮件地址、电话号码、订单历史记录和部分支付卡信息。JD Sports 已向受影响客户发出通知,并建议他们更改密码并密切关注其财务状况。公司还聘请了网络安全专家来调查违规行为并加强其系统。

很多人以为遭遇数据泄露事件没有什么大不了,认为只要重建一下系统或者向用户道个歉然后让用户重置一下密码就可以了。对此,昆明亭长朗然科技有限公司网络安全顾问董志军称:对于垄断机构来讲,这种说法可能有些道理。但是对于正常的商业企业来说,辛苦建立的客户信任,可以在数据泄露之后迅速消失。特别是对于个人信息非常看重的人群来讲,他们可不愿意遭受电信诈骗或广告骚扰,如果有厂商泄露了他们的个人信息,他们肯定会失望透顶。举例来讲,JD Sports 此次数据泄露事件可能对客户产生以下影响:

  • 个人信息泄露风险:客户的个人信息(如姓名、地址、电子邮件地址、电话号码)可能被黑客获取,存在个人隐私泄露的风险。
  • 财务信息泄露风险:部分客户的支付卡信息也可能受到影响,存在财务安全受损的潜在风险。
  • 身份盗用风险:泄露的信息可能被不法分子用于进行身份盗用或其他欺诈活动,给客户带来经济损失和麻烦。
  • 信任受损:客户对 JD Sports 的信任可能受到影响,影响其未来与该公司的交易和关系。

分析JD Sports 数据泄露事件的根本原因有助于类似的电商企业吸取经验教训,对于企业了解并采取措施防止今后发生类似事件非常重要。以下是几点根本原因分析:

  • 网络安全措施不足: 报告显示,JD Sports 没有采取适当的网络安全措施,如适当的加密和访问控制,导致客户数据容易被利用。
  • 缺乏员工培训: 对员工进行的有关数据安全和敏感信息处理的培训和宣传计划不足,可能是造成漏洞的原因之一。
  • 过时的系统和软件: 使用不再受支持或已针对已知漏洞打补丁的过时系统和软件,会增加数据泄露的风险。
  • 事件响应计划不足: 缺乏健全的事件响应计划和程序来检测、控制和缓解数据泄露,可能会使情况更加恶化。

从原因分析中,我们不难得出以下的经验教训:

  • 优先考虑数据安全: 各组织必须将数据安全放在首位,并实施强有力的网络安全措施,包括加密、访问控制和定期安全审计。数据已成生产力,数据的丢失或损毁必将严重影响生产力,甚至影响到企业生存。
  • 员工培训和提高认识: 定期对员工进行数据安全、敏感信息处理和潜在威胁识别方面的培训,提高他们的安全意识至关重要。人员是数据和系统的创造者和使用者,亦应当成为安全保护者。
  • 不断更新系统和软件: 定期用最新的安全补丁更新系统和软件,更换过时的技术,有助于减少漏洞,降低数据泄露的风险。
  • 制定和测试事件响应计划: 实施并定期测试事件响应计划可帮助企业更有效地检测、控制和缓解数据泄露,最大限度地减少对客户和利益相关者的影响。
  • 遵守法规: 确保遵守相关数据保护法规,如《通用数据保护条例》(GDPR)、网络安全法、数据安全法、个人信息保护法或行业特定法规,可帮助企业保持适当的安全标准,避免潜在的罚款或法律后果。
  • 第三方风险管理: 在与处理敏感数据的第三方供应商或服务提供商合作时,进行尽职调查并实施适当的安全措施至关重要。
  • 持续改进: 企业应不断审查和改进其网络安全实践,保持警惕并适应不断变化的威胁和最佳实践。

通过了解 JD Sports 数据泄露事件的根本原因并吸取教训,企业可以加强其数据安全态势,保护客户信息,并保持与利益相关者的信任。如果有企业需要这方面的帮助,特别是员工培训和意识提升,欢迎联系我们。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]