云监控和保险提供商Parametrix对CrowdStrike中断的深入分析计算了财富500强公司的直接财务损失和保险损失。其专有数据和高级模型计算了此类损失并预测了与此类影响深远的中断事件相关的未来风险。据其估算结论,CrowdStrike的大规模中断将给财富500强公司造成超过50亿美元的损失,但其中80-90%的损失不在网络保险范围内。Parametrix指出,由于公司的风险自留额较大,且保单限额相对于潜在中断损失较低,网络保险单可能只覆盖10%至20%的损失。此次中断影响了约850万台Windows机器,给《财富》500强企业中的四分之一造成了损害,尤其是航空、零售、批发、医疗保健和银行行业。例如,银行业损失总额超过10亿美元,医疗保健公司损失近20亿美元。Parametrix认为,依赖物理计算机的传统行业恢复时间更长,而基于云的系统显示出更好的弹性和快速恢复能力。此外,CrowdStrike对事件的坦率讨论虽受称赞,但其客户拓展工作,包括提供食品券等补偿措施,被批评为不足。年度Pwnie大奖赛甚至提前为CrowdStrike颁发了此次网络中断奖,引发了广泛嘲讽。
总体损失约54亿美元
据云监控和保险提供商Parametrix称,大规模的CrowdStrike中断将给财富500强公司造成超过50亿美元的损失,而其中80-90%的损失不在网络保险范围内。
Parametrix估计,此次影响约850万台Windows机器的中断将给财富500强公司造成54亿美元的损失,而且这个数字还不包括微软自己实施修复和恢复机器运行的成本。
该保险公司在7月24日发布的一份声明中表示:“由于许多公司的风险自留额较大,且相对于潜在停电损失的保单限额较低,网络保险单承保的损失部分可能不会超过10%至20% 。”
较小的客户将使CrowdStrike的总损失更高,而且受害者不太可能从CrowdStrike获得太多帮助,因为该公司的条款和条件将损失限制在退款范围内。
医疗保健、银行业损失最严重
Parametrix表示,四分之一的《财富》500强企业受到了此次中断的影响,CrowdStrike将此归咎于其验证软件中的一个漏洞,该漏洞导致发布了错误的更新。
《财富》500强中的所有航空公司以及43%的零售和批发公司都受到该漏洞的影响,导致大面积的Windows蓝屏死机 (BSOD) 错误,需要单独重启机器才能修复。
大约75%的医疗保健和银行业公司遭受了直接损失,银行损失总额超过10亿美元,医疗保健公司损失总额近20亿美元。
该公司表示,除了主要的财务损失之外,“CrowdStrike对关键服务的影响还导致了一系列运营延迟,影响了财富500强公司及其下游实体”。
CrowdStrike喜提年度“中断奖”
许多网络安全观察员都对CrowdStrike对该事件及其后果的坦率讨论表示称赞,但在许多受影响的环境中,涉及数千台机器的大面积中断在许多情况下让客户感到不满,而该公司的外展工作 — — 在某些情况下包括食品券 — — 也被批评为不足。
微软安全研究员Kevin Beaumont分享了一张客户的照片,抱怨说DoorDash提供的100美元赔偿对于影响到未具名组织内超过15万台设备的停电来说简直是微不足道:
CrowdStrike DoorDash客户投诉
年度Pwnie大奖赛 (Pwnie Awards) 提前为CrowdStrike颁发了此次网络中断奖,而这家顶级网络安全公司犯下如此巨大的错误,引发了众多嘲讽和嘲讽。
网络保险视角的结论
Parametrix联合创始人兼首席执行官乔纳森·哈佐尔 (Jonathan Hatzor) 在一份声明中表示:他们对CrowdStrike中断的分析不仅显示了系统性网络损失事件的可能程度,还显示了其界限。它告诉保险行业更多关于保险公司和再保险公司如何分散其网络风险组合以最大限度地降低系统性网络风险的潜在影响。然而,这个分析并没有展示出整个分散化的图景。
奔溃系统的恢复差异:云和传统基础设施之间的对比:传统行业依赖于物理计算机,因而从CrowdStrike中断中恢复所需的时间更长,相比之下,采用云基础设施的系统显示出固有的弹性和快速恢复能力。这突显了云系统在关键操作中的优势,强烈证明了其适用性。
优先事项的偏差:风险管理过于关注非系统性网络威胁,反而成了CrowdStrike中断的催化剂。一项保护措施无意中成为了风险聚集器,实际上放大了其影响。
实现组合多样化:通过在不同的行业部门、服务提供商和公司规模之间进行战略性多样化,网络(再)保险公司可以有效管理系统性风险。通过多样化依赖关系,公司可以减少对未来类似事件的暴露。
独特影响特征:CrowdStrike中断的影响与中断AWS、Azure和GCP等服务提供商的事件显著不同。这部分原因在于部署CrowdStrike系统的用户群体既包括本地用户也包括云基础设施用户。例如,医疗保健提供商是CrowdStrike的重要用户,在此次中断事件中受到严重影响。然而,当Parametrix分析AWS、Azure或GCP中断对财富500 强企业的影响时,这些医疗保健提供商的暴露程度较低。因此,保险行业不应仅依赖CrowdStrike事件作为建模未来涉及云服务提供商系统故障的主要数据点。
尽管专注于预防至关重要,但网络(再)保险公司对中断的发生和服务提供商的部署实践影响有限。该行业应集中在其可控的领域,例如映射、管理和评估服务提供商的聚集风险。通过清晰地了解这些聚集点,可以利用工具评估关键聚集服务的暴露,从而减轻对恶意和非恶意威胁的暴露。这允许采取更主动的方法,做出更好的承保决策,并为提供有效管理系统性网络风险的风险转移解决方案铺平道路。
关于Parametrix
Parametrix是领先的云监控、建模和保险服务提供商,总部位于纽约,是管理代理和劳合社承保人,承保针对数字供应链中断的参数化保险。Parametrix使用专有技术持续监控全球各种第三方IT服务的性能,并收集有关服务中断的详细数据。该公司利用这些数据评估风险,提供即时保险报价,并简化理赔支付,理赔通常在几天内完成。Parametrix的保单由主要的A级全球保险公司支持。
附件1:致命星期五-蓝屏事件时间线
2024年2月28日(UTC):CrowdStrike 开发并发布了 Falcon 的传感器更新,旨在检测滥用 Windows 命名管道的新兴攻击技术。此更新通过了常规测试。
2024年3月5日(UTC):更新经过压力测试并验证可用,随后发布了快速响应更新,启用了新的恶意命名管道检测功能。
2024年4月8日至4月24日(UTC):CrowdStrike 推出了三个使用新代码模板的快速响应更新,这些更新在生产环境中表现如预期。
2024年7月19日(星期五)04:09 UTC(北京时间 12:09):CrowdStrike 向 Falcon 终端安全产品推送了一次失败的更新。这次更新使用了 3 月份的传感器模板,数据格式不正确,导致安全软件崩溃,触发蓝屏死机和重启循环。
2024年7月19日(星期五)05:27 UTC(北京时间 13:27):CrowdStrike 部署了修复程序。在这78分钟内,至少有850万台Windows设备无法运行。
2024年7月19日(星期五)15:30 UTC(北京时间 23:30):美国CISA发布初步警报,表示正在与CrowdStrike及其他合作伙伴密切合作以评估影响并支持补救措施。
2024年7月19日(星期五)19:30 UTC(北京时间 7月20日 03:30):CrowdStrike 首席执行官乔治·库尔特向客户和合作伙伴公开道歉,并解释中断原因。
2024年7月20日(星期六)01:11 UTC(北京时间 09:11):CrowdStrike 发布了有关此次崩溃的技术细节。
2024年7月20日(星期六):微软发布了一款恢复工具,包括两个针对Windows终端的修复选项:一个帮助从WinPE恢复,另一个帮助从安全模式恢复受影响的设备。
2024年7月21日(星期日):CrowdStrike 开始发布集中式补救和指导说明,帮助受影响的主机恢复,并处理云环境中的问题。
2024年7月22日(星期一)11:37 UTC(北京时间 19:37):CrowdStrike 报告称已测试初始修复的更新,加快了主机修复的能力,并发布了相关YouTube视频指导。
2024年7月24日(星期三):Sevco Security 首席执行官估计CrowdStrike服务已恢复约95%,但某些系统的完全恢复可能需要数周时间。
附件2:CrowdStrike事件对全球500强的影响分析报告
参考资源:
1.https://www.cyberdaily.au/security/10881-crowdstrike-outage-could-cost-fortune-500-companies-us-5-4b
2.https://thecyberexpress.com/cyber-insurance-wont-cover-crowdstrike-losses/
3.https://www.theregister.com/2024/07/25/crowdstrike\_timeline/
原文来源:网空闲话plus
“投稿联系方式:010-82992251 sunzhonghao@cert.org.cn”
