软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Windows所思

作者:Sender Su  来源:本站原创  发布日期:2024-07-20  最后修改日期:2024-07-20

昨天刚刚写完对 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》[1] 的解读,然后就是铺天盖地的 Windows 蓝屏导致外国大量关键基础设施停摆的新闻,国内也有企业被波及。

article banner

笔者:国际认证信息系统审计师、软考系统分析师、软件工程硕士

罪魁祸首居然是这些 Windows 上安装的 CrowdStrike 安全软件。

在笔者观点,这妥妥的就是一次软件供应链安全事件。

CrowdStrike 发了个有缺陷的补丁,把 Windows 给干蓝屏了。表面上,CrowdStrike 是主要责任。

但是按软件供应链安全管理的要求,这些蓝屏的 Windows 所属企业(软件需方)的责任实际是比作为软件供方的 CrowdStrike 要大。

在 GB/T 43698-2024 标准的 6.3 软件供应链安全风险评估,即软件供应链安全风险评估对组织的要求,第a)项指出:

应按照 GB/T 36637-2018 中6.3风险评估流程,定期开展软件供应链安全风险评估,识别现有或预计产生的组织管理和供应活动管理相关的安全风险,重点关注以下安全风险:

......

4)供应活动在软件中引入的安全风险破坏发行版本或升级补丁的完整性、安全性和合规性。

注:GB/T 36637-2018 [2]

就这一项就已经明确了,软件需方也即软件的用户,不能盲目直接采信软件供应商提供的软件,必须先进行风险评估的原则性要求。

又如在 GB/T 43698-2024 标准的 7.2.4 软件运维,即软件运维对需方要求,第d)项指出:

d)应将软件作为组织资产进行管理,保障软件安装、升级维护时从安全可控的渠道获取软件安装包、升级包、补丁包,并开展相应的可用性、安全性及完整性检测分析,在确保符合要求后进行软件安装、更新升级,并同步更新相关配置。

......

j)应依据实际业务场景的业务连续性和灾难恢复计划,制定可接受的恢复时间和恢复目标,并确定防范供应中断和服务中断等风险的安全策略。

很显然,这次蓝屏的企业组织都没有对 CrowdStrike 的补丁进行 CIA 三性检测分析,更没有制定切实的业务连续性和灾难恢复计划,及时恢复运行。

虽然外国的企业不需要遵循中国的标准要求,但国际标准 ISO/IEC 27001:2022 [3] 里面,也有明确的 Patch Management Policy,对补丁要 identify, prioritise, test, deploy and monitor 的。

更不用说业务连续性计划(BCP)和灾难恢复计划(DRP)这两个是属于IT治理的基本要求。

所以,如果这些企业组织还声称自己严格对标执行 ISO 27001,COBIT[4],ITIL[5] 什么的,可信性真是要打个大折扣。

在更为读者所熟知的等级保护标准 GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》[6] 里面就已经明确地有补丁检测的要求,位于第5章,5.5.6.3 条,安全机制整合要求:

对安全机制整合的要求,主要包括:

......

——脆弱性管理:进行补丁库管理和补丁检测与分发;实现对网络中主机系统和网络设备安全脆弱性信息的收集和管理,通过远程和本地脆弱性评估工具及时收集和分析网络中各个系统的最新安全风险动态;

最后提醒各位读者,可以看看自己所在企业组织的网络安全管理制度里面有没有明确补丁管理的要求:

1、需要先进行验证通过然后才能分发部署到生产环境?

2、操作规程有没有定义补丁验证的规范过程?

3、以及有没有对补丁的验证和分发部署保留操作记录?

4、应用补丁前有无先进行备份?

5、是否只考虑了操作系统补丁,没有同时兼顾其它类别软件的补丁?

6、网络安全审计管理员有无定期审计操作记录?

最后:是否没有这些制度规程和记录,都照样能通过等保测评?

参考引用:

[1] GB/T 43698-2024 《网络安全技术 软件供应链安全要求》

https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=94FEB278E715BD48566C48804F1A56EC

[2] GB/T 36637-2018 《信息安全技术 ICT供应链安全风险管理指南》

https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=8C81D84FB9FF253645FEE8AE17EC0F53

[3] ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements

https://www.iso.org/standard/27001

[4] COBIT® 2019 Framework (Control Objectives For Information and Related Technology)

https://www.isaca.org/resources/cobit

[5] ITIL 4 (IT Infrastructure Library)

https://www.axelos.com/certifications/itil-service-management/what-is-itil/

[6] GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》

https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=797127310413D5E64517E951AA2CFCDF

本栏目相关
  •  2024-12-02 网络安全行业的评选特别多,信哪个?
  •  2023-11-22 勒索软件团伙为了让受害者掏钱,居然直接报告给监管部门
  •  2024-03-19 电影《沙丘》中的零信任和风险管理(剧透)
  •  2024-03-26 信息化项目甲方避坑指东之一
  •  2024-04-22 信息化项目甲方避坑指东之二
  •  2024-05-28 微软 AI PC 的新功能“回顾”一定是个大坑
  •  2024-07-29 “观星者哥布林”的警示:瞄准病急乱投医的软件供应链水坑攻击
  •  2024-07-20 软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Windows所思
  •  2024-09-08 CISecurity.org 已经拒绝中国大陆 IP 地址访问
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码:

    本栏目热门内容
  • 评论:关于DBA这个角色职业未来之我见
  • 勒索软件团伙为了让受害者掏钱,居然直接报告给监管...
  • 评论:我对终身学习的看法和自己的方法
  • 评论:都一窝蜂地迁移基础设施......但真准备好了?...
  • 电影《沙丘》中的零信任和风险管理(剧透)
  • 信息化项目甲方避坑指东之一
  • 国产化替代:资源有限的甲方如何选择操作系统?
  • 信息化项目甲方避坑指东之二
  • 微软 AI PC 的新功能“回顾”一定是个大坑
  • “观星者哥布林”的警示:瞄准病急乱投医的软件供应...
  • 软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Win...
  • 数据分类分级不是皇帝的新衣,是甲方信息化部门的尚...
  • CISecurity.org 已经拒绝中国大陆 IP 地址访问
  • WSUS 行将就木:微软决定放弃这款差强人意的更新管...
  • 信息化项目甲方避坑指东之三
  • 蓝屏不会是最后一次:盘点杀毒软件反杀操作系统的历...
  • 高“效”运维已死,高质运维永生
  • 中国·广州 2024年国家网络安全宣传周现场精彩一瞥
  • IT环境多样性:供应链安全和网络弹性之源!
  • 网络安全日志保留6个月?可能要三年。
  • 国产化替代:操作系统厂商需要加快制订加固基准
  • 采购使用传呼机、对讲机归谁管?
  • 从香港网络安全峰会2024观察香港网安市场机遇
  • 安全加固必须要有可人读的基准文本而不是傻瓜式的黑...
  • 香港网络安全峰会2024所见
  • BASIC 语言发明人去世,想起自己用过很多种 BASIC
  • 信息系统运维外包的可靠性是数据安全最大的坑
  • 网络安全行业的评选特别多,信哪个?