CrowdStrike’ın son dört günde yaptığı güncellemenin yarattığı ölçekte birkaç satır hatalı kodun kesintiye yol açabileceği gerçeği, dünya çapındaki kurumsal bilgi teknolojisi yığınlarında daha fazla dayanıklılık ve yedekliliğe yönelik acil ihtiyaca benzersiz bir dikkat çekti.
Oraya ulaşmanın kolay olacağını çok az kişi bekliyor. Ancak hemen hemen herkes, son birkaç gündeki gelişmelerin daha iyi hazırlık, daha iyi etki azaltma ve geçen hafta yaşanan türden teknoloji arızalarından kurtulmak için yeni fikirlere olan ihtiyacı vurguladığı konusunda hemfikir.
The 19 Temmuz’da başlayan yıkım Şirketin Falcon uç nokta güvenlik teknolojisinin Windows sürümü için küçük bir CrowdStrike içerik güncellemesi dünya çapında sistem arızalarına neden olduğunda. Çok sayıda havayolu, banka, havaalanı, hastane, otel, üretim şirketi ve diğerleri, Windows sistemlerinin temelde çalışmaz hale geldiğini ve mavi ekran ölüm (BSOD) durumundan yeniden başlatma girişimlerine rağmen yeniden başlatılmayı reddettiğini bildirdi. Microsoft, hatalı CrowdStrike güncellemesinin bazı 8,5 milyon Windows sistemi Dünya çapında.
Kurtarma sorunları yeterince büyük bir zorluk değilmiş gibi, tehdit aktörleri bu hafta kaostan yararlanarak kimlik avı e-postaları, bilgi hırsızları ve diğer kötü amaçlı yazılımları dağıtmaya çalışarak bunlara yenilerini eklediler. Örneğin 22 Temmuz’da, CrowdStrike uyardı tehdit aktörlerinin, Daolpu adlı daha önce görülmemiş bir bilgi hırsızını dağıtmak için sahte bir CrowdStrike kurtarma kılavuzu kullanmaları. Daha önce, güvenlik satıcısı, tehdit aktörlerinin dağıtmaya çalıştığı konusunda uyardı kötü amaçlı bir ZIP arşivi Güney Amerika’daki kullanıcılara; şirketin bir düzeltmesi olduğu iddia edildi, ancak gerçekte RemCos Trojan’ı yükledi. Diğerleri, örneğin Bil4Ol, Sorunla ilgili haberler ilk duyulmaya başladıktan sadece birkaç saat sonra CrowdStrike sorununu yem olarak kullanarak kimlik avı girişimlerinde bulunulduğu bildirildi.
CrowdStrike: Ulusal Güvenlik Sorunu mu?
ABD Temsilciler Meclisi İç Güvenlik Komitesi, 22 Temmuz’da CrowdStrike CEO’su George Kurtz’dan, şirketin gelecekte benzer bir olayı önlemek için ne gibi önlemler alacağı ve ne gibi yanlışlar yaptığı konusunda açıklama talep etti. Kurtz’a yazdığı bir mektuptaKomite, ABD’deki kesintilerin muazzam büyüklüğüne işaret ederek (3.000’den fazla iptal edilen uçuş, 11.800 uçuş gecikmesi, ameliyat iptalleri, 112 acil çağrı merkezi kesintileri) sorunun göz ardı edilemeyeceğini belirtti.
Komite başkanı Mark Green, “Bu olay, ağ bağımlılığıyla ilişkili ulusal güvenlik riskleri hakkında daha geniş bir uyarı görevi görmelidir” diye yazdı. Çin ve Rusya gibi ulus devletler tarafından desteklenen kötü niyetli siber aktörler, bu olaya verdiğimiz yanıtı yakından izliyor.”
İkisi birden KalabalıkGrev Ve Microsoft güncellemeler ve rehberlik yayınladı — dahil kendi kendini iyileştirme ipuçları uzak kullanıcıların kuruluşların sistemlerini geri yüklemelerine yardımcı olmak için. Microsoft Pazartesi günü, kuruluşların kurtarmayı hızlandırmasına yardımcı olmak için kurtarma aracını genişletilmiş günlük kaydı, hata işleme yetenekleri ve iki onarım seçeneğiyle güncelledi.
Bir Mamut Kurtarma Görevi
Olsa bile, sistemleri geri yükleme görevi Lansweeper’da ürün stratejisi direktörü olan Thomas Mackenzie, bunun çok büyük ve zaman alıcı olacağını söylüyor. “Geri almak için yedeklerin olup olmadığı ve varlıkların sanallaştırılmış olup olmadığı gibi bir dizi faktöre bağlı, ancak bunlarla sınırlı değil,” diyor. “Microsoft bu sorunu düzeltmek için bir araç yayınladı, ancak varlıkta BitLocker varsa ve anahtar gerekiyorsa, kullanılamaz. Farklı konumlarda çok sayıda varlıktan bahsediyorsanız, bu önemsiz bir görev değildir.”
ThreatLocker CEO’su Danny Jenkins, şirketinin yaptığı testlerin, bilgisayar başına manuel kurtarma işleminin yaklaşık 15 dakika sürdüğünü gösterdiğini ve bunun birçok durumda gerekli olacağını söylüyor.
“Tüm bilgisayarlar ofis tabanlıysa, birbirlerine yakın olduklarını varsayarsak, cihaz başına yaklaşık dört dakikaya düşürülebilir,” diyor ancak uzak kullanıcılar dahil olduğunda restorasyonun önemli ölçüde daha zor olacağını ekliyor. “10.000 cihazı olan bir şirket, kurtarma için yaklaşık 666 adam-saat harcayacak. Uzaktan kurtarma, bunun üç katına çıkma olasılığını artırıyor.”
Şifreleme kurtarma anahtarları başka bir sorundur. Her cihazın Güvenli Mod’da başlatmak için kendi BitLocker kurtarma anahtarı olacaktır.
“Bu durum iyileşme süresini uzatabilir [significantly]Jenkins, “bunları bir yerde sakladığınızı varsayarsak,” diyor. “Ayrıca, elle yazılması gerçekten uzun bir anahtar.” Kuruluşlar, otomatik kurtarmayı etkinleştirmek için CrowdStrike’ın çalışmasını engellemek amacıyla başka bir güvenlik aracı kullanmayı deneyebilirler, diye ekliyor.
Birbirine Bağlı Bir Dünyanın Tehlikeleri
Bu CrowdStrike olayı, giderek daha fazla teknolojiye bağımlı ve birbirine bağlı bir dünyada bazen işlerin ters gidebileceğinin bir hatırlatıcısı, diyor Tanium’da uç nokta güvenliği direktörü Melissa Bischoping. Bu durumda, teknik olarak düzeltilmesi kolay ancak pratikte astronomik miktarda çaba gerektiren bir şekilde yanlış gittiler çünkü ilk birkaç gün içinde etkilenen hemen hemen her uç noktada insan müdahalesi gerektirdi.
“İleriye dönük olarak, [focus] “Dünya genelinde inşa ettiğimiz ve dağıttığımız teknolojide dayanıklılık ve yedeklilik üzerine,” diyor. “Teknolojide başarısızlıkların olması kaçınılmazdır. Dayanıklılık katmanlarına, gerçek zamanlı görünürlüğe ve en karmaşık düzeltmeyi hesaba katan iş sürekliliği planlarına sahip olmak, her risk yönetimi görüşmesinin merkezinde olmalıdır.”
Olay, şaşırtıcı olmayan bir şekilde, teknoloji satıcılarına müşteri sistemlerindeki yazılımlarına otomatik güncellemeler yapma konusunda sınırsız bir yetki vermenin bilgeliği hakkında sorulara yol açtı, Bischoping şöyle diyor: “Kuruluşlarımıza yazılım sağlayan sağlayıcılara çok güveniyoruz. Müşterinin uç noktalardaki değişiklikleri kontrol altında tutmasına izin verme ve her ortamın benzersiz risk kabul stratejisiyle en güncel bilgileri dağıtma ihtiyacını dengeleme konusunda görüşmeler yapmamız elzemdir.”
Kuruluşlara, uç noktalardaki değişikliklerin oranı üzerinde belirli bir düzeyde kontrol sağlamanın, risk azaltmanın kritik bir bileşeni olduğunu söylüyor.
JFrog Saha Bilgi Güvenliği Sorumlusu (CISO) Paul Davis, CrowdStrike olayının, proaktif testlerin ve hazırlıklı olmanın büyük çaplı kesintileri önlemede ne kadar önemli olduğunu hatırlattığını söylüyor.
“Bundan etkilenen kuruluşlar ayrıca operasyonlarına dürüstçe bakmalıdır: teknoloji yığınınızın hangi parçaları çevrimdışı kaldı, kimler işlerini daha iyi yapabilirdi, kimler işlerini yapmaktan alıkonuldu, kimler iş için elzemdi, kuruluş kesinti sırasında ne olmadan yaşayabilirdi ve işletmenin hangi parçalarının en çok korunması gerekiyor,” diyor. “Bu soruların yanıtları kriz yanıt planınızı belirleyecek ve bu büyüklükte bir kesinti meydana geldiğinde nasıl hareket edeceğiniz konusunda size bir taslak sunacaktır.”
Burada kuruluşlar için önemli olan nokta, yazılım tedarik zincirinin birbiriyle bağlantılı birden fazla parça ve araçla karmaşık olabileceği ve küçük marjinal hataların bile büyük etkilere sahip olabileceğidir. Davis, güncellemelerin dağıtımına gelince “Yavaş artışlar ve dikkatli dağıtım anahtardır” diyor. “Çarenin hastalıktan daha kötü olmasına asla izin vermeyin, bir güncelleme düzeltmeye çalıştığı hatadan daha fazla kesintiye neden olur.”