خطوات استرداد معرفات Gartner في حالة انقطاع “الشاشة الزرقاء” لـ CrowdStrike
منذ يوم الجمعة، تكافح المؤسسات من أجل تشغيل عملياتها وتشغيلها بعد أن أدى تحديث البرنامج من قبل شركة CrowdStrike الأمنية إلى انتشار وباء “شاشات الموت الزرقاء” على مستوى العالم، والمعروف باسم شاشة الموت لمستخدمي Windows.
أصدرت شركة Gartner الاستشارية العالمية للتكنولوجيا يوم الاثنين مذكرة بحثية تحدد الإجراءات قصيرة المدى ومتوسطة وطويلة المدى التي يمكن لمستخدمي CrowdStrike تنفيذها للتعامل مع ما أصبح التحديث من الجحيم.
إحدى توصيات الشركة لاتخاذ إجراء فوري هي التأكد من أن فرق الأمن تبحث عن معلومات استخباراتية جديدة تتعلق بالتهديدات المتعلقة بالهجمات الانتهازية. وأوضح سوميد باردي، رئيس المنتجات في شركة Simbian، وهي شركة أمنية تعمل بالذكاء الاصطناعي في ماونتن فيو، كاليفورنيا: “في حالة الذعر، يبدأ الناس في التمسك بالقشة”.
وقال لـ TechNewsWorld: “إنهم يبحثون عن أي مساعدة يمكنهم الحصول عليها عبر الإنترنت”. “لذا فإن ما نراه هو ظهور مجموعة من المواقع المزيفة بواسطة المحتالين.”
وأوضح باردي أن أحد أشكال الاحتيال هو موقع ويب لا يفعل شيئًا سوى المطالبة بدفعات مقدمة. تقدم مواقع الويب الأخرى نصائح مجانية ولكنها تحتوي على برامج ضارة.
أشار كريس موراليس، كبير مسؤولي أمن المعلومات في Netenrich، مزود خدمات مركز العمليات الأمنية في سان خوسيه، كاليفورنيا، إلى عدة أنواع من الهجمات الانتهازية التي يجب على المؤسسات أن تكون في حالة تأهب قصوى خلال هذه الفترة الأولية لانقطاع CrowdStrike. وقال لـ TechNewsWorld: “حملات التصيد الاحتيالي كبيرة”. “يحب المهاجمون استغلال الارتباك عن طريق إرسال رسائل بريد إلكتروني تبدو وكأنها من CrowdStrike أو الشركات ذات الصلة.”
وأضاف: “إن حشو بيانات الاعتماد وهجمات القوة الغاشمة شائعة أيضًا، حيث يحاول المهاجمون استغلال أي ثغرات أمنية مؤقتة”.
وقال: “وبالطبع، هناك دائمًا خطر استهداف نقاط الضعف المعروفة بشكل أكثر قوة أثناء الفوضى”.
احتمالية زيادة برامج الفدية
قد يؤدي انقطاع الخدمة أيضًا إلى تغذية آفة أخرى عبر الإنترنت. وقال تيم فريستون، الرئيس التنفيذي للاستراتيجية والتسويق في شركة Kiteworks، وهي شركة تقدم اتصالات المحتوى الآمن في سان ماتيو، كاليفورنيا: “يمكن أن تتزايد هجمات برامج الفدية مع استغلال المهاجمين للمواقف الأمنية الضعيفة للمؤسسات المتضررة”.
وقال لـ TechNewsWorld: “قد تتزايد محاولات سرقة البيانات، مستهدفة الأنظمة الضعيفة مؤقتًا”. “قد يؤدي انقطاع الخدمة أيضًا إلى تحفيز هجمات DDoS لزيادة إرباك الشبكات المتوترة بالفعل.”
يمكن أيضًا إنشاء دعوات للاستغلال الانتهازي من قبل المتسللين عندما تقوم فرق مركز العمليات الأمنية بتنفيذ تدابير مخصصة لتشغيل الأنظمة بسرعة.
لاحظ جوش ثورنجرين، الخبير الاستراتيجي الأمني في شركة ForAllSecure، وهي شركة لاختبار أمان البرمجيات، أن “أحد أهم الأمور بالنسبة إلى مراكز عمليات الأمان (SOC) هو التأكد من أن أي أنظمة مؤقتة أو ارتفاعات أذونات مؤقتة أو حلول بديلة أخرى تم وضعها موضع التنفيذ قد تم إيقاف تشغيلها”. شركة في بيتسبرغ.
وقال لـ TechNewsWorld: “عندما يكون هناك نشاط على هذه الأجهزة أو الشبكات بعد أسبوعين من الآن، فمن المحتمل أن تكون هذه مشكلة”.
قدمت شركة Gartner أيضًا بعض التوصيات بشأن إجراءات منتصف المدة. وأوضح أن “التركيز في إجراءات منتصف المدة هو تقييم التأثير على الأنظمة الثانوية، والبحث عن نقاط الضعف المكشوفة، والتأكد من أن لديك رؤية للتحديثات والإصدارات المخطط لها على مستوى النظام في الأسبوع المقبل”.
إدارة التعب والإرهاق
ومن بين الإجراءات المتوسطة المدى التي اقترحتها جارتنر أن تقوم المؤسسات بمراجعة الحالات الشاذة أو الاتجاهات غير العادية مع فرق مركز عمليات الأمن (SOC) لتقليل مخاطر الهجمات الانتهازية غير المكتشفة.
“يجب أن تكون فرق SOC على اطلاع بالكميات غير العادية من البيانات التي تدخل أو يتم إخراجها من المستودعات، وطلبات الوصول الأعلى من المعتاد، والمستخدمين الذين يطلبون الوصول إلى الملفات أو محركات الأقراص التي لا يريدون عادةً أو يحتاجون إلى الوصول إليها، و قالت كاتي تيتلر سانتولو، خبيرة استراتيجية الأمن السيبراني في شركة OX Security، وهي مطورة لمنصات إدارة الوضع الأمني للتطبيقات النشطة، في تل أبيب، إسرائيل: “أي تغييرات في الأذونات أو التكوينات التي تتناسب مع خطوط الأساس أو الاتجاهات السابقة”
“يمكن لفرق تكنولوجيا المعلومات والأمن أيضًا مساعدة مؤسساتهم عن طريق إضافة أي نطاقات مزيفة معروفة، مثل crowdstrikebluescreen[.]com أو مكتب المساعدة Crowdstrike[.]com، إلى قوائم الحظر الخاصة بهم لمنع المستخدمين من زيارة تلك المواقع عن غير قصد.
هناك إجراء آخر مقترح في منتصف المدة من قبل شركة Gartner وهو إدارة الإرهاق والإرهاق لدى الموظفين بشكل نشط. وأشار جون أماتو، كبير محللي جارتنر، إلى أن “هذا الانقطاع يتجاوز فرق الأمن لأنه يمس كل جهاز في الشركة”.
وقال لـ TechNewsWorld: “هذا يخلق عملية شاقة ومستهلكة للوقت ومملة”. “إن موظفي مكتب المساعدة في معظم الشركات في الوقت الحالي متوترون إلى حد الانهيار. أسمع عن شركات توظف جيوشًا من المقاولين الذين يأتون إلى الآلات التي تعمل باللمس ويعملون على مدار الساعة طوال أيام الأسبوع. كلما طال أمد ذلك، زادت احتمالية الشعور بالإرهاق. إنها وصفة للإرهاق.
أوضح موراليس أن الإرهاق والإرهاق يمثلان مشكلات كبيرة أثناء أحداث مثل انقطاع خدمة CrowdStrike وغالبًا ما يتم تجاهلهما. وقال “فكر في الأمر”. “تتعامل فرقنا الأمنية فجأة مع زيادة هائلة في عبء العمل. إنهم يحاولون إدارة الاستجابة للحوادث مع الحفاظ على استمرار جميع العمليات المنتظمة. إنه مثل محاولة إطفاء النار بينما لا نزال نطبخ العشاء.”
وتابع: “هذا النوع من التوتر المطول يمكن أن يؤدي إلى إجهاد خطير في اتخاذ القرار، حيث تبدأ جودة الاختيارات في الانخفاض”. “قد تفوت الموظفين المتعبين التنبيهات الهامة أو العلامات الدقيقة للهجوم.”
وأضاف: “دعونا نواجه الأمر، نحن جميعًا بشر، وفرص ارتكاب الأخطاء ترتفع بشدة عندما تكون مرهقًا. قد يؤدي خطأ صغير واحد إلى خطأ في التكوين أو استجابة متأخرة، وفجأة، لدينا مشكلة أكبر بكثير بين أيدينا.
المرونة على المدى الطويل
تهدف إجراءات Gartner طويلة المدى إلى تخفيف أو تقليل مخاطر الأحداث المستقبلية مثل حدث CrowdStrike. وأشار جارتنر إلى أن “انقطاع خدمة CrowdStrike يعزز الحاجة إلى التركيز على المرونة”، وأوصى “باستخدام نهج من أعلى إلى أسفل لربط النهج بالأهداف الاستراتيجية الشاملة”.
وقال موريس أوينوما، نائب الرئيس والمدير العام: “بالنسبة لجميع الجهود المبذولة لمنع حدوث مثل هذه الأخطاء مرة أخرى، يجب أن نتوقع أن هذه الأخطاء المتتالية ستزداد من حيث التكرار والتأثير في السنوات القادمة حيث يصبح العالم أكثر ترابطًا وترابطًا”. مدير في مجموعة بلانكو للتكنولوجيا، وهي شركة عالمية متخصصة في مسح البيانات وتشخيص الأجهزة المحمولة
وقال لـ TechNewsWorld: “لهذا السبب، يجب علينا التركيز على المرونة – القدرة على البقاء والتعافي عندما تأتي الأزمة الحتمية”.
وأوضح قائلاً: “يتم تحقيق المرونة من خلال وجود طرق منفصلة ومتكررة لأداء المهام الحرجة، وضمان النسخ الاحتياطي المستمر للبيانات، وبناء قنوات اتصال بديلة، والتدريب على العمل بقدرات متضائلة في ظل ظروف معاكسة”.
وأضافت جينا ويلز، كبيرة مسؤولي العملاء والمنتجات في Supply Wisdom، وهي منصة لاستخبارات المخاطر في الوقت الفعلي في مدينة نيويورك: “إذا أرادت الشركات أن تكون أكثر مرونة، فيجب عليها أولاً أن تتمتع بالإشراف الكامل والوعي بسلسلة التوريد الخاصة بها”.
وقالت لـ TechNewsWorld: “إذا كان لديك إشراف كامل ووعي بسلسلة التوريد الخاصة بك، فإنك توفر الوقت وتزيد من مرونتك من خلال معرفة نقاط الفشل بالفعل”. “يمكنك بعد ذلك وضع خطة استباقية لاستمرارية العمل عند وقوع الأحداث.”
وأضافت: “سواء كان الأمر يتعلق بحدث سيبراني – أو، كما في هذه الحالة، خطأ بشري – يجب أن تكون قادرًا على الرد على أي نوع من الحوادث بلمسة إصبع”. “في نهاية المطاف، ليس الأمر إذا حدث حدث ما، بل متى.”
