19 Temmuz CrowdStrike arızasının yankıları önümüzdeki yıllarda sektörde yankılanmaya devam edecek gibi görünüyor. Şimdilik BT ekipleri emek yoğun bir kurtarma sürecinden geçmeye odaklanmış durumda.
Ancak toparlanma sadece başlangıç. Bunu, düzenleyici denetimlerin bir bombardımanı, BT topluluğu arasında sert duygular ve bir yazılım güncellemesindeki küçük bir hatanın bile küresel çapta felaketle sonuçlanabileceğine dair sert bir hatırlatmanın takip edeceği kesin.
Siber saldırganlar da fırsat kollayarak etrafımızı sardı.
Windows Kurtarma Modunda
Falcon Platformuna ait hatalı duyusal yapılandırma güncellemesi 19 Temmuz’da 04:09 UTC’de yayımlandı. CrowdStrike’a göre. Bir kere CrowdStrike güncellemesi dışarı itildi, yaygın Microsoft kesintilerine neden oldu CrowdStrike’ın 29.000 müşterisi arasında şirketin yazılımına siber güvenlik uç nokta tespiti ve yanıt (EDR) için güvenen. CrowdStrike’ın müşterileri arasında perakendeciler Target ve Amazon, teknoloji devleri Alphabet ve Intel ve diğer birçok bilinen şirket ismi yer alıyor. Cuma sabahı oturum açmaya çalıştıklarında, dünyanın en büyük organizasyonlarından bazılarındaki çalışanlar korkunç mavi ölüm ekranına bakmak zorunda kaldılar. Havaalanları, bankalar, hastaneler, hükümetler – çok az sektör bu felaketten kurtuldu – dünya ekonomisini felç etti ve paniğe neden oldu.
CrowdStrike, bunun bir siber saldırı olmadığını, sadece bir aksaklık olduğunu dünyaya garanti etti. Ancak bu, Cuma günü etkilenen bilgisayarları manuel olarak kurtarma moduna başlatma, bozuk dosyayı silme ve yeniden başlatma göreviyle karşı karşıya kalan BT ekipleri için pek de rahatlatıcı değildi. Bu süreç birçok kuruluşta hala devam ediyor.
Cloud Range’in teknoloji başkan yardımcısı Tom Marsland bir açıklamasında, “Bu uzaktan yapılabilecek bir şey değil ve birçok organizasyonda bir yönetici gerektirecektir,” dedi. “Bu, BT desteğinden birinin bilgisayardan bilgisayara gidip bunu manuel olarak yapması anlamına geliyor.”
Marsland, bazı büyük şirketlerde toparlanmanın günler, hatta bir hafta veya daha fazla süreceğini öngörüyor.
Marsland, “İyileşme süreci hafif tabirle acı verici olacak” diye ekledi.
Microsoft’un çöküşü 18 Temmuz’daki olayla ilgili değildi Azure kesintisiMicrosoft sözcüsüne göre, bu sorun daha önceden giderilmiş durumda.
Sorunu düzeltmek için CrowdStrike ile yakın bir şekilde çalıştığını belirten Microsoft’a göre, hatalı güncellemeden yaklaşık 8,5 milyon Windows cihazı (tüm Windows makinelerinin %1’inden azı) etkilendi.
“Bu olay, geniş ekosistemimizin -küresel bulut sağlayıcıları, yazılım platformları, güvenlik satıcıları ve diğer yazılım satıcıları ve müşteriler- birbirine bağlı yapısını gösteriyor. Ayrıca, teknoloji ekosistemindeki hepimizin, var olan mekanizmaları kullanarak güvenli dağıtım ve felaket kurtarma ile çalışmaya öncelik vermemizin ne kadar önemli olduğunu hatırlatıyor,” dedi David Weston, kurumsal ve işletim sistemi güvenliği başkan yardımcısı Microsoft hafta sonu bir gönderide.
CrowdStrike Arızalı
Peki CrowdStrike güncellemesi dünyanın bilgisayarlarını nasıl çökertti? Uzmanlar, sorunlu olanın yapmadıkları şeyler olduğunu söylüyor.
Carnegie Mellon Üniversitesi Elektrik ve Bilgisayar Mühendisliği Bölümü profesörü David Brumley, CrowdStrike’ın test ve dağıtım aşamasında yaptığı birkaç hatayı görüyor.
Brumley, Dark Reading’e verdiği bir açıklamada, “İlk olarak, güncellemelerini yeterince stres testine tabi tutmadılar,” dedi. “Bunun iki aşamada yapılması gerekiyor: yazılım bileşenlerini birleştirilmeden önce stres testi ve son yazılım yapılarını işletim sistemi sürümleri arasında stres testi.”
Brumley’e göre yanlış adımlar atılmaya devam etti.
“İkincisi, dağıtımlarında yeterince kademeli değillerdi,” diye ekledi. “Bu, herkesin kötü güncellemeyi aynı anda aldığı anlamına geliyor. Google gibi şirketler, güncellemeleri kademeli olarak dağıtacak, bu nedenle güncelleme kötüyse, en azından sınırlı bir hasara sahip olacak.”
Ayrıca, güncellemenin Cuma günü yayınlanması konusu da var; bu, BT profesyonelleri arasında genel olarak kötü bir uygulama olarak değerlendirilir.
“CrowdStrike olayında vurgulandığı gibi, birkaç risk nedeniyle güncellemeleri Cuma günü dağıtmak genellikle kötü bir fikirdir,” diyor Critical Start’ta siber tehdit araştırmaları kıdemli yöneticisi Callie Guenther. “Genellikle, BT ekipleri hafta sonları yetersiz personel bulundurur, bu nedenle bir güncelleme yanlış giderse, onu düzeltecek daha az kişi olur.”
Cuma günü yapılacak dağıtımların, sorunun hafta sonu fark edilmeme olasılığını artırdığını da sözlerine ekledi.
‘Büyük anlaşma’
CrowdStrike bu olaydan sıyrılırken, şirketin bir inceleme kasırgasıyla karşı karşıya kalması muhtemel. YL Ventures’ın işletme ortağı Andy Ellis, Dark Reading’e yazılım satıcılarının yaygın konsolidasyonunun bilgeliğinin de incelenmesi muhtemel olduğunu söylüyor.
“Yetkisi en ufak bir miktar bile olsa her düzenleyicinin, çok sayıda farklı kritik sektördeki tedarikçi konsolidasyon riskini araştırmak için bile olsa, soruşturma yapacağından şüpheleniyorum,” diyor Ellis. “Bu, çekirdek altyapımızın ne kadar monokültüre dayandığını ortaya koydu.”
Cuma öğleden sonra, Federal Ticaret Komisyonu başkanı Linda Khan, şu ifadelere atıfta bulunmuş gibi görünüyor: CrowdStrike kesintisi sosyal medyada, çok az sayıda tedarikçiye güvenmenin “kırılgan sistemler” yarattığını, “… tek bir aksaklığın sistem genelinde kesintiye yol açtığını” belirtti.
CrowdStrike kesintisinin ardından kaybedilen karların ve gereken çalışma saatlerinin ötesinde, rakipler şimdiden bundan yararlanmaya çalışıyor. Hem CrowdStrike CEO’su George Kurtz hem de CISA, dolandırıcıların kaostan faydalanmaya çalıştıkları konusunda uyardı.
Kurtz, “Rakiplerin ve kötü niyetli aktörlerin bu tür olayları istismar etmeye çalışacağını biliyoruz” dedi. ifade“Herkesi uyanık olmaya ve resmi CrowdStrike temsilcileriyle iletişim kurmaya teşvik ediyorum.”
CrowdStrike’a gelince, şirketin müşterileri bunun tek seferlik bir hata olduğuna ikna etmesi gerekecek. Ellis, sözleşmelerin CrowdStrike’ı muhtemelen her türlü yasal sorumluluktan koruyacağını ve nihayetinde şirketin kaderine müşterilerinin karar vereceğini açıklıyor.
“Çoğu yazılım şirketi gibi, sözleşmesel sorumluluk sınırlamalarının CrowdStrike’ı doğrudan koruyacağından şüpheleniyorum, ancak bu onları düzenleyicilerle veya yenileme döngüleri sırasında müşterilerle zorlu görüşmelerden korumuyor,” diye ekliyor Ellis. “Bu çok büyük bir olay.”