Es ist ein Weckruf für die Branche, der Crowdstrike-Defekt, der fast 10 Millionen Maschinen „kaputt gemacht“ hat. Inzwischen wissen die meisten von uns, was passiert ist und sind damit beschäftigt, Dinge zu reparieren. Und die Lösung? Ein manueller Vorgang, der physischen Zugriff auf jede Maschine erfordert. Für Mitarbeiter an entfernten Standorten und in hybriden Umgebungen ist für die Wiederherstellung die Gewährung von Administratorrechten für die betroffenen Maschinen erforderlich (die dann entzogen oder verwaltet werden müssen, um Risiken zu vermeiden).
Die Mitarbeiter, die auf diese Maschinen angewiesen sind, müssen an nicht verwalteten oder privaten Computern arbeiten, bis ihre vom Unternehmen bereitgestellten Maschinen verfügbar sind. Eine Menge Arbeit wird also auf nicht verwalteten Computern, Smartphones und persönlichen Apple macOS-Computern erledigt werden. Oder die Arbeit wird überhaupt nicht erledigt. Die Arbeit wird erledigt am ungesteuert Maschinen: denk darüber nach.
Jenseits der Schuld, das Gesamtbild
In der Zukunft sollten wir den Wert nicht verwalteter Maschinen berücksichtigen und sie in die Zero-Trust-Sphäre. Wir waren gezwungen, einige Arbeiten auch ohne den vom Unternehmen bereitgestellten PC zu erledigen. Vielleicht sollten wir das im Rahmen der Geschäftskontinuität einplanen.
Im Moment muss das SOC-Team jedoch nicht nur das IT-Team mobilisieren, sondern auch opportunistische Cyberangriffe berücksichtigen, bei denen Phishing-Versuche unternommen oder versucht werden, Malware zu verbreiten, während sie sich als Lösung für das Problem ausgeben.
Schon Menlo Sicherheit hat Websites identifiziert, die sich als CrowdStrike ausgeben und das Angebot eines Fixes als Mittel zur Verbreitung von Schadsoftware nutzen. Dutzende solcher URLs und Domains für mehrere Enterprise-Mandanten in der Menlo Cloud wurden identifiziert und vereitelt. Die häufigsten Angriffe kamen von crowdstrike0day [.] com und crowdstrikebluescreen [.] com.
Die folgende Abbildung ist eine repräsentative Seite:
Während sich Unternehmen darauf konzentrieren, zum normalen Betrieb zurückzukehren, muss das SOC-Team auf der Hut sein: Über 50% dieser URLs werden von herkömmlichen Sicherheitsgateways und Cloud-Diensten nicht als „schlecht“ eingestuft. Diese Angriffe nutzen Veraltete Taktiken zur Umgehung der URL-Reputation (LURE) und wird nicht durch herkömmliche Tools blockiert. Wir sehen, dass sie in die Kategorien „Unkategorisiert“ und „Gesundheit & Medizin“ eingeteilt werden — und somit könnten sie die herkömmlichen Abwehrmechanismen durchbrechen.
Die Widerstandsfähigkeit gegenüber Cybersicherheit überdenken
Nachdem wir uns erholt haben, müssen wir darüber nachdenken, warum das passiert ist. Warum reagieren unsere Unternehmen nicht auf ein Update eines Sicherheitssensors? Der Endpunktschutz wurde unter anderem um die Überwachung der Netzwerktelemetrie erweitert. Diese Sensoren sind im Laufe der Jahre immer komplexer geworden: Sie haben sich von der AV- und Endpunkterkennung der nächsten Generation zur Überwachung von Netzwerkereignissen weiterentwickelt. Sensoren überwachen dynamisch das Verhalten, einschließlich der Kommunikation zwischen Prozessen. Zu sagen, dass es komplex ist, sagt nicht genug aus.
Dies ist nicht der richtige Zeitpunkt, um den neuesten Anbieter zu verprügeln, der einen solchen Ausfall verursacht hat. Die meisten groß angelegten Sicherheitstools für Endgeräte hätten einen solchen Ausfall verursachen können. Dieser Ausfall war groß, aber Serviceunterbrechungen, die durch Sicherheitstools und -systeme verursacht werden, sind keine Seltenheit.
Im Jahr 2021 über 50% der Unternehmen hatte einen Ausfall gemeldet, der durch ein Sicherheitstool verursacht wurde. Juniper Networks hatte ein Problem mit der Codeintegrität. McAfee hatte einmal ein ähnliches Problem wie der Crowdstrike-Defekt. Solarwinds, natürlich. Ein führendes WLAN-Unternehmen hatte kürzlich einen großflächigen Ausfall. Citrix Bleed. Log4Shell in VMware Horizon. Und der arme Ivanti hatte es in letzter Zeit schwer. Die Rate der gemeldeten Ausfälle liegt derzeit wahrscheinlich bei weit über 50%.
In einem Panel diese Woche, erörterten die Analysten von Gartner dieses jüngste Problem und nannten es ein „Black Swan“ -Ereignis. Sie schlugen vor, dass IT-Teams Updates wie diese testen sollten, bevor sie sie bereitstellen. Dieser Ansatz wird nicht skalierbar sein. Es würde die IT-Teams überfordern: Solche Updates erscheinen manchmal mehr als einmal am Tag, und eine Verzögerung ihrer Verteilung erhöht das Risiko, dass ein Angreifer an Zugkraft gewinnt. Die Analysten von Gartner rieten aus offensichtlichen Gründen auch von der Verwendung mehrerer Endpunkt-Sicherheitsprodukte ab:
- Zwei Sensoren würden das Risiko verdoppeln, dass so etwas passiert.
- Es wäre sehr kostspielig.
Während dieser Podiumsdiskussion John Amato schlug eine kritische Frage im Zusammenhang mit der Prüfung von Alternativen zum aktuellen Stand vor. Er schlug vor, dass jeder Anbieter, der versucht, Crowdstrike zu verdrängen, gefragt werden sollte:
„Warum genau sollte Ihr Produkt gegen dieses Problem immun sein?“
Das ist eine wichtige Frage. Sie sollte allgemeiner gestellt werden, und zwar im Zusammenhang mit der aktuellen Sicherheitsarchitektur von Unternehmen.
Einführung einer modernen Sicherheitsarchitektur
Der Ausfall von Crowdstrike hat einen grundlegenden Fehler aufgedeckt: Wir sind zu sehr auf komplexe Endpunkt-Softwareinstallationen angewiesen. Seit Jahrzehnten setzen wir verstärkt auf Virenschutz (AV), Endpoint Protection Platforms (EPP), Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR). Dieser Ansatz hat jedoch zu einem fragilen Kartenhaus geführt, das unter der Last seiner eigenen Komplexität leicht zusammenbrechen kann.
Um den heutigen Bedürfnissen und Bedrohungen gerecht zu werden, brauchen wir einen radikalen Wandel:
- Optimieren Sie Endpunktinstallationen: Vermeiden Sie es, die Komplexität der Endpunktsoftware zu erhöhen. Jede neue Funktion oder jeder neue Agent, der aktualisiert werden muss, erhöht das Risiko von Ausfällen und Sicherheitslücken.
- Überdenken Sie den Geschäftsbetrieb: Das Internet ist das Lebenselixier der modernen Wirtschaft. Unsere Sicherheitsstrategien müssen diese Realität widerspiegeln und dürfen sie nicht behindern.
- Zero-Trust einführen: Ein Zero-Trust-Zugriffsmodell, das sowohl mit verwalteten als auch mit nicht verwalteten Systemen funktioniert und einen solchen Defekt überstehen kann, ohne die Komplexität der Endpunkt-Softwareinstallation zu erhöhen.
Aber wie würde eine widerstandsfähigere Sicherheitslösung aussehen? John Amatos Frage fordert uns heraus zu fragen: „Was genau müsste ein Produkt benötigen, um gegen dieses Problem immun zu sein?“ Hier ist, wonach wir suchen sollten:
- Kernel-unabhängiger Betrieb: Durch den Betrieb außerhalb des Betriebssystemkerns entfällt das Risiko, den Computer zu „blockieren“. Besser noch, es würde unabhängig vom lokalen Betriebssystem funktionieren, ohne dass zusätzliche Endpunkt-Softwareinstallationen erforderlich wären.
- Ephemere Sitzungen: Bei jeder Benutzersitzung instanziiert, orchestriert und gelöscht werden, sodass defekte oder bösartige Software nicht gespeichert wird.
- Robuste Bedrohungsabwehr: Bieten Sie unangreifbaren Schutz vor Phishing und Malware-Verbreitung.
- Reibungsloser Zugriff: Benutzer sollten auf die Ressourcen zugreifen können, die sie benötigen, ohne Abstriche bei der Sicherheit machen zu müssen. Dies bedeutet, dass unabhängig vom Gerät oder Netzwerk ein sicherer Zugriff auf Anwendungen und Daten gewährleistet werden muss.
Natürlich würde ein solches Produkt nicht für alle Anwendungsfälle gelten: Für die CT-Scangeräte und Reservierungssysteme der Fluggesellschaften ist eine installierte Software erforderlich. E-Voting-Geräte müssen natürlich verwaltet und gesichert werden. Sie alle benötigen Endpunkt-Sicherheitssoftware. Für die überwiegende Mehrheit der Endbenutzergeräte ist jedoch ein Light-Touch-Ansatz, der Sicherheit und Belastbarkeit Priorität einräumt, sowohl machbar als auch notwendig.
Die richtigen Fragen stellen
Endbenutzercomputer benötigen Endpunktschutz — und sie müssen auch in der Lage sein, Benutzer vor Malware, Phishing und Softwaredefekten zu schützen. Während wir uns von dem Crowdstrike-Ausfall erholen, ist es sinnvoll, unsere Sicherheitsarchitektur zu überdenken und einige schwierige Fragen zu stellen:
- Haben wir zu lange versucht, alles mit Firewalls und Endpunkt-Softwareinstallationen zu lösen? Erlauben wir nur, dass Endpunktsoftware auf Autopilot läuft?
- Erledigt der „Secure Service Edge“ wirklich die Arbeit? Ist Log4Shell auf VMware Horizon oder CitrixBleed immer noch ein Problem?
- Wie läuft diese Zero-Trust-Initiative? Gibt es eine andere Möglichkeit, Benutzer und Endgeräte vor Bedrohungen zu schützen?
- Können wir eine strikte Netzwerktrennung anwenden und trotzdem Zugriff auf Informationen und Tools gewähren, ohne eine VPN-Verbindung zu verwenden?
Es ist wahrscheinlich auch an der Zeit, die Arbeitsweise der Benutzer zu überdenken: 50% der Benutzer können ihre Arbeit vollständig in einem Browser erledigen. 80% der Benutzer können 80% ihrer Arbeit im Browser erledigen. Microsoft Windows ist nach wie vor das wichtigste PC-Betriebssystem, aber Google Chrome und Microsoft Edge haben sich zu den Orten entwickelt, an denen ein Großteil unserer Arbeit erledigt wird. Seit Unternehmensbrowser haben sich als die wichtigsten Tools herausgestellt, die die meisten Mitarbeiter verwenden. Vielleicht ist es an der Zeit, zuerst über die Browser nachzudenken.
Sicherheit steht an erster Stelle im Browser
Obwohl der Schutz von Endpunkten und Netzwerken nach wie vor von entscheidender Bedeutung ist, können wir die wachsende Rolle des Browsers in unserem Arbeitsleben nicht ignorieren. Der Ausfall von CrowdStrike verdeutlichte, wie ein einziger Softwarefehler die Produktivität beeinträchtigen kann, und unterstrich die Notwendigkeit, die Sicherheit von Unternehmensbrowsern in unsere umfassendere Risikomanagementstrategie zu integrieren.
Einfach mehr Endpunkt-Sicherheitssoftware anzuhäufen, ist nicht die Antwort. Lassen Sie uns stattdessen die Tools nutzen, die wir bereits haben: unsere Browser. Sie verwenden Google Chrome, Microsoft Edge oder Apple Safari; Sie haben bereits das richtige Tool zur Hand. Die Frage ist, wie können wir es zu unserem Vorteil nutzen?
Anstatt Ihr Endpoint Protection-Produkt hastig auszutauschen, sollten Sie sich die folgenden Fragen stellen:
- Welcher alternative Ansatz hätte die Auswirkungen dieses Ausfalls verringert?
- Welcher Ansatz hätte die Genesung möglicherweise einfacher und billiger gemacht?
- Wie können die Browser, die wir bereits haben, helfen, ohne die Komplexität der Endpunkt-Softwareinstallationen zu erhöhen?
Es ist zwar wahrscheinlich, dass CrowdStrike dieses Problem lösen wird, aber es ist ratsam, proaktive Maßnahmen zu prüfen.
Effektive Unternehmenssicherheit erfordert den Schutz und die Kontrolle von Endpunkten und Netzwerken. Crowdstrike und Microsoft sind bewährte EPP-Optionen. Es gibt nach wie vor eine Vielzahl von Anbietern für Netzwerksicherheit. Aber wer schützt die Unternehmensbrowser? Browser, in denen die meisten von uns den Großteil ihres Arbeitstages verbringen, müssen ebenfalls verwaltet und geschützt werden.
In der Browser-Arena gibt es wirklich eine einzige Wahl: Menlo Sicherheit und sicheres Cloud-Browsen. Menlo fügt den Browserkontext einer Sicherheitsarchitektur auf eine Weise hinzu, die für Unternehmen funktioniert — sowohl auf verwalteten als auch auf nicht verwalteten Computern. Wo herkömmliche Ansätze versagt haben und wo sie manchmal sogar selbst Risiken mit sich bringen, bietet Menlo die Sicherheit und den Zugriff, die Benutzer und Unternehmen benötigen. Menlo Security ermöglicht es der Welt, sich sicher zu verbinden, zu kommunizieren und zusammenzuarbeiten, ohne Kompromisse einzugehen — und ohne das zusätzliche Risiko, dass Ihre Geräte kaputt gehen.
Lesen Sie, was andere Leute über das Hinzufügen des Browsers zu einer Sicherheitsarchitektur sagen aktuelle Arbeiten von Coalfire oder das Analyse von GigaOM.
Erfahren Sie in diesem Artikel mehr über Enterprise Browser-Lösungen und darüber, wie Browsersicherheit Ihr Unternehmen widerstandsfähiger gegen Angriffe und „Black-Swan“ -Softwarefehler machen kann Bericht von Omdia.