美国GAO发布《网络弹性：CrowdStrike故障凸显挑战》报告

近日，美国问责局发布的《网络弹性：CrowdStrike故障凸显挑战》报告，深入剖析了2024年7月发生的一场由CrowdStrike公司终端安全产品故障引发的全球大规模宕机事件。此次事件不仅暴露了网络安全领域中的技术和管理挑战，也凸显了数字时代网络弹性的重要性及其面临的严峻考验。

供应链风险管理、测试、应急计划和网络信息共享方面的挑战使得降低IT 系统的网络安全风险变得更加困难。美国审计总署在这些领域的工作凸显了降低这些风险的必要性。

大事件

2024年 7 月，网络安全公司CrowdStrike 的一个软件更新导致微软Windows 操作系统崩溃，造成了可能是历史上最大的IT 故障之一。这次故障造成商业航班停飞、重要医院护理中断等影响，从而破坏了关键基础设施的运行。

CrowdStrike中断影响描述

CrowdStrike对该事件的调查发现，一个错误的安全更新导致了大范围的系统故障，影响了数百万个Windows 系统。尽管CrowdStrike 崩溃是人为错误而非网络攻击造成的，但它凸显了我们在2019 年SolarWinds攻击事件中看到的类似漏洞。在那次事件中，恶意行为者没有直接攻击系统，而是瞄准了系统支持软件。该软件名为SolarWinds Orion，被联邦机构广泛用于监控网络活动和管理网络设备。这使得威胁行为者得以入侵多个联邦网络。针对联邦机构和国家关键基础设施部门（如运输和医疗保健）的网络事件在数量、影响和复杂程度上都在不断增加。网络安全和基础设施安全局(CISA) 等联邦实体领导着协调国家网络政策和关键基础设施网络安全的工作。

美国政府问责局的工作表明

GAO长期以来一直在报告供应链风险管理、测试、应急计划和信息共享对于帮助管理和减少网络安全漏洞的重要性。

• 供应链风险管理。各组织越来越依赖于复杂、互联的全球供应链，其中可能包括多层次的外包。通过供应链利用 IT 产品和服务是一种新出现的威胁。

• 2020 年，确定了管理和保护联邦 IT 免受这些风险侵害的七种做法。我们提出了改进供应链风险管理实践的建议，包括在部署前检测假冒和受损的技术产品。

• 测试。在实施新系统和软件（包括重要的安全补丁）之前，对其进行测试和批准至关重要，这有助于确保系统的硬件和程序按预期运行，并且不会引入未经授权的更改。我们的工作发现，联邦机构在部署新系统或软件之前，并不总能充分解决测试中发现的问题。这增加了防范网络风险和系统故障的难度。

• 2021 年，建议国防部和退伍军人事务部改进其电子健康记录系统的测试流程，以验证系统是否按预期运行并满足用户需求。

• 应急计划。应急计划有助于确保在业务中断时，各组织能够检测、减轻并从服务中断中恢复，同时保持对重要信息的访问。然而，我们的工作表明，联邦机构并不总是对其应急计划进行规划和测试。

• 2023 年，建议国务院每年对其对美国国家安全利益有重大影响的系统的应急计划进行测试，以便该部门能够在事件发生时更好地做好准备和应对措施。

• 网络安全信息共享。国家关键基础设施面临的网络威胁不断增加，对国家安全构成重大挑战。随着这些威胁变得越来越复杂，联邦机构与关键基础设施所有者和运营商共享网络威胁信息变得越来越重要。由于缺乏非联邦实体的自愿共享和可操作信息等原因，联邦机构在共享网络威胁信息方面往往面临挑战。

• 2023 年，建议白宫和主要机构努力更好地确保政府和关键部门之间有效、及时地共享信息。

• 2024 年，报告了 CISA 为实施关键基础设施网络事件报告立法所做的努力。

机遇

联邦政府及其关键基础设施部门的非联邦合作伙伴采取一致行动，对于降低网络威胁带来的风险至关重要。因此，2018 年我们在高风险更新中纳入了联邦政府面临的四大网络安全挑战。联邦政府也已采取措施，改善对此类事件的响应。但要改进管理和缓解网络事件的方式，仍有许多工作要做。

关键基础设施部门示例

工作重点强调了在联邦政府防范网络攻击和漏洞的工作中实施必要纠正措施的机会。例如，2024年 4月，我们建议主要联邦机构执行旨在改善联邦政府应对网络安全威胁的行政命令要求。更广泛地说，自2010 年以来，在公开报告中针对四大网络安全挑战领域提出了1624 项建议。截至2024 年 9月，仍有 528项建议尚未落实。落实这些建议将有助于提高联邦政府和关键基础设施部门的整体网络复原力。

联邦政府已采取行动，应对保护其系统和关键基础设施部门系统方面的挑战。例如，国会颁布了《2022年关键基础设施网络事件报告法》。该法案规定了16 个关键基础设施部门的网络事件报告要求。CISA正在努力敲定一项规则，以便在2025 年 10月之前执行该法案关于网络事件报告的要求。继续坚持打击网络事件对于保护对美国至关重要的系统至关重要。

声明：本文来自天极智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。