CrowdStrike 崩溃向我们展示了网络安全软件的侵入性。还有更好的方法吗?
周五,全球遭遇了许多人所说的史上最大规模的 IT 中断,850 万台Windows 计算机崩溃且无法重启。事件原因是一个软件自动更新引发的漏洞,直到上周五,除了网络安全专家之外,几乎没有人听说过这个软件:CrowdStrike 的 Falcon。
Falcon 是一种被称为“端点检测和响应”的软件,简称 EDR。它有点像是强化版的防病毒软件。安装后,Falcon 会监控计算机是否存在网络攻击的迹象。
它可以收集您打开的文件、运行的程序、访问的网站等数据。这使其成为具有高权限的软件。当员工意外打开恶意电子邮件附件时,Falcon 会时刻保持警惕。
EDR 计划被视为最佳实践,由澳大利亚政府首席网络防御机构推荐。
这意味着,在 2024 年,网络安全专家推荐的最佳策略是使用软件来监视我们计算机上发生的一切事情。
我们是怎么走到这一步的?有没有更好的前进方式?
EDR 案例
CrowdStrike 是 EDR 市场的领导者,这就是为什么上周晚些时候这么多系统瘫痪的原因。推荐使用 Falcon 等 EDR 技术是有充分理由的。对于个人组织来说,它们对于提醒 IT 安全团队注意网络入侵迹象非常有用。
这有助于 IT 团队在攻击者造成重大损害之前阻止他们。在更隐蔽的攻击中,它有助于标记可能指向长期入侵的可疑行为。2022年的Medibank 黑客攻击就是一个很好的例子。在最初获得访问权限后,黑客在 Medibank 网络中潜伏了数周而未被发现。
CrowdStrike 的 Falcon 等技术还提供了有关全球新兴网络威胁的宝贵情报。由于其软件部署在世界各地的众多组织中,CrowdStrike 拥有鸟瞰视角,至少在理论上,这使其能够识别任何单个组织无法看到的恶意行为模式。
因此,它也是网络威胁情报领域的领导者,为 IT 团队提供需要注意的信息。如果组织检测到网络攻击,Falcon 等 EDR 工具收集的数据也可以帮助查明入侵的具体发生方式。
再次,Medibank 黑客事件是一个很好的例子。联邦法院文件包含导致黑客事件的事件时间表的详细信息,包括最初的入侵是如何发生的,以及攻击者在获得 Medibank 网络访问权限后做了什么。
如果没有 EDR 等监控工具提供的全方位视图,收集此类信息将极具挑战性。
有什么缺点?
周五的停电事件发生后,有必要对 EDR 技术的弊端进行质疑。许多人已经提出了一些显而易见的问题,例如我们的社会对少数几家全球科技巨头的依赖程度过高,以及科技单一化的风险。
但二十多年前我们就已经意识到这些风险。我们可能无法指望这次事件能打破科技市场普遍存在的垄断。
另一个缺点是纯粹的技术风险。像 Falcon 这样的 EDR 软件通过紧密集成到 Microsoft Windows 的核心(控制我们大多数计算机的基本软件)而获得了无所不知的优势。这就是为什么它可能导致我们首先看到的崩溃。
作为一家高权限软件制造商,CrowdStrike 有责任确保其更新的安全。它显然没有做到这一点,我们都应该要求关键软件制造商提高责任标准。
隐私权衡
事件发生后,所有这些问题都引起了广泛讨论。但隐私方面的权衡却很少被讨论。
如果您要求网络安全专家说出哪种类型的软件可以监视您在计算机上执行的所有操作,他们很可能会先说出间谍软件,然后再提到 EDR。
间谍软件是黑客安装在受害者计算机上的恶意软件,用于获取敏感信息,例如密码、银行信息或裸照等。
事实上,一些注重隐私的计算机科学家将 EDR 等同于间谍软件。
与其他形式的企业监控一样,个人隐私权与组织保护自身免受网络入侵的职责之间存在明显的矛盾。
EDR 技术已在各大组织中推广,但人们对其对用户隐私和信任的影响却几乎没有什么争议。这次中断或许能为这些争论提供一个机会。
有没有更好的办法?
在这次事件之后,值得思考的是,当前 EDR 技术所做的权衡是否正确。
放弃 EDR 将是网络罪犯的福音。但网络安全技术可以而且应该做得更好。
从技术角度来看,微软和 CrowdStrike 应该合作,确保 Falcon 等工具与 Microsoft Windows 核心保持一定距离。这将大大降低未来错误更新带来的风险。一些机制已经存在,可能允许这样做。CrowdStrike 的 Falcon 的竞争技术已经以这种方式运行。
为了保护用户隐私,EDR 解决方案应采用隐私保护方法来收集和分析数据。Apple 已经展示了如何在不侵犯用户隐私的情况下从 iPhone 大规模收集数据。不过,要将这种方法应用于 EDR,我们可能需要进行新的研究。
更根本的是,这一事件引发了人们的疑问:为什么社会继续依赖明显不可靠的计算机软件?尤其是在澳大利亚,我们是国际公认的高度安全计算机系统设计领域的世界领导者,例如保护高度机密信息的计算机系统。
从长远来看,我们应该首先集中精力构建可靠、安全的软件,以减少对 EDR 等侵入性技术的依赖。
页:
[1]