安全事件起因

安全事故之后的安全流程评审

admin

确保安全万无一失是人们的美好愿望,甚至被人们当做口号和政治任务。可是从科学角度讲,安全事故无法百分百避免,安全事故后的应急响应便成为一项关键安全控管流程。

旨在降低可能损失的应急响应流程在最后的输出往往是事件的根本原因分析和防范未然之道。不可否认,信息安全事故的原因往往都是人为的,即使是信息系统或者外界环境方面的因素,往往也会有适当的防范和补救方案。说到底,不管什么因素,都需要流程方面的防范措施,通过有效的流程控管和优化,可以在很大程度上减少安全事故的发生,并且降低可能造成的损失。

如何知晓在信息安全管理流程上缺乏什么呢?如何知道将如何改善安全作业流程呢?这不是看表面拍脑袋想当然的事情,需要科学的调研、分析和总结。内部人员能隐约觉察出问题的原因,但是可能并非所称的根源root cause。即使有明眼人能看出来,可能也局限于自身的地位或办公室政治因素而避开不谈。所以,再讲到改善流程,则希望渺茫,无疑让人们为安全事故所付出的代价付之东流。

当局者迷,旁观者清。安全负责人无疑需要请来外部第三方的审核队伍,帮忙找寻安全管理流程中的不足之处,并加以咨询和探讨。安全事故五花八门,起因似乎也是如此。但是在专业的安全审核人员看来,微小的失误和明显的过失还是有很大区别的。

流程评审的关键已经不再是看看文档,不少公司的文档只是文档,缺乏真实性。现场巡查、人员走访和随机抽检才是发现安全问题和隐患的关键。昆明亭长朗然科技有限公司信息安全咨询顾问James Dong说:一名懂信息安全的负责任的审核员足够,沟通交流出期望的输出,比如找出安全管理流程中的哪些不足甚至错误之处,与行业最佳实践的差距,以及改进建议。

通常第三方中立的信息安全审核人员并不会受制于内部环境的束缚,所以能够较为客观和中立地给出审核报告。当然在提及改进方案之时,往往也会提供专业的建议,比如推荐一些产品和服务。这都无可厚非,而且确实在很大程度上能够为供需双方牵线搭桥。

总之,一起安全事故的起因看似聚集在一个点,其实并非孤立的,要进行全面的安全管理流程审核分析,才是防范同类安全事故再次发生的正确措施。当然,要让信息安全委员会成员们以及相关的决策者们认识到这一点,还需要足够的安全观念碰撞和沟通交流。无疑,在安全认知的校正和安全观念的启蒙方面,针对管理层的信息安全意识宣导课程可以帮上忙。

CrowdStrike网络安全事件简析及安全管理控制措施

admin

网络安全公司CrowdStrike软件更新引发了全球性Windows设备崩溃事件。该事件源于一个名为“Channel File 291”的内容验证问题,一个人的失误导致了数百万台Windows设备受到影响。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:外部黑客都搞不出的危害,内部威胁的一个简单的变更失误就能达成,强烈的对比即具讽刺意味又值得人们反思。

根本原因分析

此次事件的根本原因在于CrowdStrike引入了一个新的Template Type,旨在提高对滥用命名管道和其他Windows进程间通信(IPC)机制的新攻击技术的可见性和检测能力。然而,在实施过程中出现了参数数量不匹配的问题,即Content Validator通过IPC Template Type传递给Content Interpreter的输入参数数量不一致。具体来说,Content Validator传递了21个输入参数,而Content Interpreter只期望接收20个。

由于在测试阶段未能发现这一不匹配,导致在7月19日推送的Channel File 291更新中出现了问题。当传感器接收到含有问题内容的新版本Channel File 291时,它们暴露于Content Interpreter的一个潜在越界读取问题中。当操作系统发出下一个IPC通知时,新的IPC Template Instances被评估,并尝试比较第21个输入值,而Content Interpreter只期望接收20个值。因此,尝试访问第21个值导致了越界内存读取,超出了输入数据数组的边界,最终导致系统崩溃。

安全管理控制措施

为了防止类似事件再次发生,CrowdStrike采取了以下措施:

  1. 编译时验证输入字段数量:在编译传感器时验证Template Type中的输入字段数量。
  2. 运行时输入数组边界检查:添加运行时输入数组边界检查,以防止Content Interpreter进行越界内存读取。
  3. 修正输入参数数量:修正IPC Template Type提供的输入参数数量。
  4. 增加测试覆盖率:在开发Template Type时增加测试案例,特别是非通配符匹配条件的测试。
  5. 修改Content Validator:增加新的检查,确保Template Instances的内容不会包含超过Content Interpreter期望输入数量的匹配条件。
  6. 更新Content Configuration System:更新测试程序,确保每个新的Template Instance都经过测试。
  7. 增强部署层和接受检查:增加额外的部署层和接受检查。
  8. 客户控制权增强:更新Falcon平台,为客户提供更多控制权,以便他们能够自主决定Rapid Response Content的交付。
  9. 第三方审查:聘请两家独立的第三方软件安全供应商进行代码审查,以确保安全性和质量。
  10. 与微软合作:与微软合作,探索新的安全功能实现方式,减少对内核驱动程序的依赖。

信息安全的人因要素

此次事件凸显了信息安全领域中的人因要素的重要性。虽然技术问题是根本原因,但缺乏全面的测试和验证流程、以及未能及时识别和修复问题也起到了推波助澜的作用。这表明即便是在高度专业化的安全公司中,人因要素也不容忽视。

网络安全培训内容

为了提高员工的安全意识,组织可以提供以下方面的培训:

  • 基础网络安全概念:包括网络安全威胁模型、常见攻击方法等。
  • 安全最佳实践:如使用复杂密码、双因素认证等。
  • 安全政策与规程:确保员工熟悉组织的安全政策和操作规程。
  • 社交工程学防御:识别和抵御社会工程学攻击。
  • 应急响应流程:了解在遭遇安全事件时的应急响应步骤。
  • 持续教育与更新:定期更新安全知识,了解最新的威胁趋势。

为了帮助企业加强员工的安全意识,昆明亭长朗然科技有限公司提供了一套全面的安全意识培训解决方案,包括:

  • 定制化培训计划:根据组织的具体需求量身定制。
  • 交互式模拟:通过模拟真实的攻击场景来提高员工的实战经验。
  • 持续教育平台:提供在线课程、案例分析和定期更新的安全资讯。
  • 合规性监测工具:帮助组织确保员工遵守相关的安全政策和法规。

通过我们的解决方案,组织可以有效地提高员工的安全意识,减少因人为失误而导致的安全事件,从而保护组织的信息资产和声誉。如果您对该方案感兴趣,欢迎不要客气地联系我们。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898