بعد حادثة CrowdStrike .. حلول واقتراحات لتجنب مثل هذه الأزمات مستقبلا
شهد العالم حادثة تعطل تقني واسع النطاق بسبب تحديث من شركة CrowdStrike لمنتج Falcon Sensor، مما أثر على العديد من الأنظمة الحيوية. الهدف من هذا التقرير هو تحليل الحادثة واقتراح حلول واستراتيجيات لتجنب مثل هذه الأزمات في المستقبل.
تحليل الحادثة
1. سبب الحادثة:
• التحديث كان يستهدف مواجهة الأنشطة الخبيثة باستخدام تحديثات محددة وموجهة جديدة، ولكنه تسبب في خطأ منطقي (logical error ) في نظام التشغيل.
2. التحديات في الحلول المعتمدة على الوكلاء:
• حلول EDR، AV، DLP، VPN، NAC وغيرها تواجه تحديات في التوافق مع الأنظمة التشغيلية، مما قد يسبب مشاكل واسعة النطاق.
3. التأثير العالمي للحلول السحابية:
• الحلول السحابية مثل CrowdStrike يمكن أن تؤثر بشكل واسع جدًا، مما يعرض المؤسسات لأضرار كبيرة مقارنة بالحلول المحلية.
4. أهمية بيئة الاختبار:
• عدم السماح للعملاء بنشر التحديثات في بيئة اختبار قبل الإنتاج ساهم في انتشار المشكلة بشكل واسع.
الحلول والاستراتيجيات
1. إعداد بيئة اختبار شاملة:
• يجب على المؤسسات إعداد بيئة تتضمن جميع العناصر المكونة للنظام الفعلي لتغطية جميع السيناريوهات الممكنة بشكل واقعي.
2. تقسيم عملية التحديث إلى مراحل:
• يمكن تحديث مجموعة صغيرة من الأجهزة أولاً ومراقبة الأداء قبل توسيع التحديث لباقي الأجهزة. هذا يساعد في اكتشاف المشاكل مبكرًا وتقليل تأثيرها.
3. تحديد الأولويات في التحديثات:
• يجب أن تضع المؤسسات آليات لتحديد الأولويات في نشر التحديثات بناءً على أهمية الأنظمة والتطبيقات، والتأكد من أن التحديثات الضرورية تُطبق أولاً.
4. التعاون الوثيق مع الموردين:
• يجب على المؤسسات التعاون الوثيق مع الموردين لضمان أنهم يجرون اختبارات شاملة قبل إصدار التحديثات، وتوفير دعم فوري في حالة حدوث مشاكل.
5. زيادة الضغط على الموردين:
• يجب على المؤسسات الضغط على الموردين لضمان عدم تهميش مناطق معينة عند إصدار التحديثات، وضمان أنهم يأخذون بعين الاعتبار الأولويات الإقليمية.
6. التحكم في الأولويات الإقليمية:
• يجب على المؤسسات التأكد من أن الموردين يلتزمون بالأولويات الإقليمية عند إصدار التحديثات لضمان عدم تهميش مناطق معينة.
7. إعادة تقييم خطط التعافي من الكوارث (DR):
• يجب على المؤسسات إعادة تقييم خطط التعافي من الكوارث للتأكد من أن جميع السيناريوهات الممكنة، بما في ذلك تعطل جميع الخوادم في نفس الوقت، قد تم التفكير فيها وتم وضع خطط للتعامل معها.
8. تدريب الموظفين:
• يجب توفير التدريب المستمر للموظفين على كيفية التعامل مع التحديثات والاختبارات، والتأكد من أنهم على دراية بأحدث الممارسات في مجال أمن المعلومات.
9. تطوير بروتوكولات الأمان:
• تطوير بروتوكولات أمان تتضمن خطوات واضحة للتعامل مع أي مشاكل قد تنشأ من التحديثات، وضمان وجود خطط طوارئ جاهزة.
في النهاية
توضح حادثة CrowdStrike أهمية أن تتخذ المؤسسات إجراءات استباقية لضمان أمان وتكامل أنظمتها. يجب أن تكون هناك خطط شاملة لاستمرارية الأعمال تشمل جميع السيناريوهات الممكنة. من خلال اتباع نهج مدروس ومتوازن، يمكن للمؤسسات تقليل المخاطر المرتبطة بتحديثات الأنظمة والحفاظ على استمرارية الأعمال بأمان.