Siber güvenlik devi CrowdStrike’ın talihsiz güncellemesinin yaklaşık 8,5 milyon Windows bilgisayarı çökertmesinin ve sağlık tesislerindeki tıbbi sistemlerden birçok havayolunun uçuşlarının gecikmesine kadar çeşitli sorunlara yol açmasının üzerinden bir hafta geçti. Ancak kuruluşlar hâlâ etkilenen kalan sistemlerine erişimi geri yüklemeye çalışıyor.
Sağlık-ISAC’ın baş güvenlik görevlisi Errol Weiss, bozuk dosyanın Sağlık Bilgi Paylaşımı ve Analiz Merkezi üyelerinin yaklaşık yarısını etkilediğini ve sağlık şirketlerinin en çok etkilenen kuruluşlar arasında olduğunu söylüyor. 25 Temmuz itibarıyla etkilenen kuruluşların yalnızca %18’i sistemlerini tamamen kurtarmışken, şirketlerin dörtte üçünün sistemlerinin hala %25’ine kadarının ilgiye ihtiyacı olduğunu söylüyor Weiss.
Weiss, pek çok kuruluşun Windows tabanlı tıbbi cihazlara sahip olduğunu ve şimdi bunların uzun vadeli bir iyileşme beklediğini söylüyor.
“Tahminimce Cuma ve Cumartesi günü çok sayıda otomatik düzeltme paylaşıldı; bu yöntemler muhtemelen tamamlanmanın büyük kısmına ulaşmada çok yardımcı oldu,” diyor ve tarafından sağlanan araçlara ve betiklere atıfta bulunuyor. Microsoft, KalabalıkGrevi, Ve diğer şirketler“Ancak bu komut dosyalarının ve otomatik düzeltmelerin bir kısmı muhtemelen bahsettiğimiz cihaz türlerinde çalışmayacak ve artık sağlık kuruluşlarının manuel bir bakış açısına sahip olması gerekiyor.”
Microsoft bir yayınladı USB Kurtarma Aracı Yöneticilere, etkilenen sistemleri WinPE’den veya güvenli moddan kurtarmak için bir USB sürücüsü kullanma seçeneği sunar. Araç, bir cihazda BitLocker etkinleştirilmiş ve bir kurtarma anahtarı mevcut olmasa bile güvenli moddan kurtarabilir. Ayrıca, Hyper-V’de barındırılan Windows istemcileri, sunucuları ve işletim sistemleri için ayrıntılı kurtarma adımları ve etkilenenler de vardır Windows 365 Bulut Bilgisayarları Ve Azure sanal makineleri.
Kesintinin Etkisinin Ölçülmesi
25 Temmuz’da CrowdStrike tahmin etti ki Etkilenen bilgisayarların %97’si aktif duruma geri döndükesintinin merkezindeki Falcon yazılımının durumuyla ölçüldüğü gibi. Müşterileri çok çeşitli boyutlarda olan yönetilen güvenlik hizmetleri sağlayıcısı Quest Software, sorunu aşmaya çalışan müşterilere hala yardım sunuyor. Quest Software’de ürün yönetimi kıdemli direktörü Kent Feid, kalan şirketlerin muhtemelen daha büyük firmalardaki birkaç zor yamalanan sistemi ve kolayca kurtarma teknik uzmanlığına sahip olmayan çok sayıda küçük firmayı temsil ettiğini söylüyor.
“Bu %3 gerçekten cihaz sayısını temsil ediyor ve bu da hala nasıl saldıracaklarından emin olmayan önemli miktarda küçük işletmenin etkilendiği anlamına geliyor,” diyor. “Daha küçük işletmeler daha çok BT uzmanı kullanma eğiliminde oluyor veya şirket içinde BT uzmanları bile bulundurmuyor.”
Kesintinin büyük etkisi henüz hesaplanmadı ancak sigorta hizmetleri firması Parametrix Solutions, olayın Fortune 500 şirketlerinin dörtte birini etkilediğini tahmin ediyor. 5,4 milyar dolara ulaşan kayıplarBunların arasında sağlık sektöründe yaklaşık 2 milyar dolar ve bankacılık sektöründe 1,1 milyar dolardan fazla kayıp yer alıyor.
Birçok Şirket Araçlara Sahip Olsa Bile Hafta Sonu Çalıştı
Kurtarma süreci çoğunlukla oldukça basit olsa da teknik uzmanlar her sistemin iyileşmek için ortalama 15 dakika gerekirçünkü her sisteme fiziksel olarak erişmek için bir yönetici gerektirir. Ayrıca, BitLocker’ı sabit sürücüyü şifrelemek için kullanan şirketler (özellikle dizüstü bilgisayar sistemlerinde siber güvenlik açısından en iyi uygulama) şifreleme anahtarını bulmalı ve bu anahtarı sürecin başında girmelidir.
Sanal masaüstü yönetim firması Nerdio’nun CEO’su Vadim Vladimirskiy, “Bunu uzaktan yapmanın bir yolu yok çünkü güvenli modda yapılması gerekiyor. Ağ çalışmıyor ve bu yüzden makineye uzaktan bağlanamıyorsunuz” diyor.
CrowdStrike’ın kötü güncellemesiyle en az 700 kesinti aynı zamana denk geldi ve kesintilerin %39’u Kritik olarak derecelendirildi. Kaynak: Parametrix Solutions
Müşterilerine sanal masaüstleri sağlayan Nerdio, müşterilerinin başarısız güncellemeden yalnızca asgari düzeyde etkilendiğini ve bulut masaüstü sistemlerinin önceki bir görüntüye geri yüklenerek kolayca onarıldığını söyledi. Birçok müşteri Nerdio’nun hizmetine bir Windows bilgisayarı kullanarak bağlanırken, yalnızca kötü CrowdStrike güncellemesinin dağıtıldığı 78 dakikalık pencerede açık bırakılan sistemler etkilendi. Vladimirskiy, etkilenen müşterilerin sanal masaüstlerine erişmek için farklı bir sisteme geçebildiğini ve bu sayede herhangi bir etkiyi sınırladığını söylüyor.
İronik olarak, sağlık hizmeti şirketleri, CrowdStrike’ın önlemek için kullandığı bir tehdit olan fidye yazılımından korunmak için uygulanan önlemlere geri dönerek toparlandı. Health-ISAC’tan Weiss, saldırıdan etkilenen sistemlerin bir listesini derledi ve buna hasta hizmetleri, laboratuvar koleksiyonları, güvenli dosya transferleri, dikte ve transkripsiyon hizmetleri, gönderiler, elektronik tıbbi kayıtlar ve Medicaid ve sigorta faturalandırması dahildi.
“Bu kuruluşlara olan etkileri duymaya başladım ve listeye baktığımda, aman Tanrım, bu sadece başka bir fidye yazılımı olayı gibi geliyor,” diyor. “Cuma günü sağlık sektöründe bundan etkilenen kuruluşlar için olan buydu, sadece ‘Tamam, sistemler çöktü, manuel yedekleme prosedürlerine geçiyoruz, kağıt yedeklemeye geçiyoruz’ dediler ve ne yapacaklarını biliyorlardı, çünkü sondaj yapıyorlardı [their response to ransomware] geçmişte.”
Bir Sonraki Büyük Başarısızlığı Önlemek
Kötü güncelleme ayrıca Azure hizmetlerinde yaşanan önemli bir kesintinin ortalamanın üzerinde sayıda şirketi etkilemesinin ardından geldi. Parametrix Solutions’a göre(Firma, Fortune 500 şirketlerinde her gün ortalama 300 hizmet kesintisi yaşandığını söyledi. 18 Temmuz Perşembe günü Azure kesintisiyle 419 kesinti aynı zamana denk geldi ve Cuma günü şirket CrowdStrike’tan gelen kötü güncellemeyle uğraşırken en az 700 kesinti yaşandı.)
CrowdStrike şu anda piyasanın öfkesini hissetse de şirketin uzun süre kapalı kalmayacağı tahmin ediliyor çünkü işletmelerin bu şirketin ve benzerlerinin sağladığı hizmet türüne ihtiyacı var, diyor Quest Software’den Feid.
“Hiçbir yazılım geliştirme şirketi -kendimizi de buna dahil ediyorum- mükemmel değildir, değil mi?” diyor. “Bence zor olan, özellikle güvenlik sektöründe ve özellikle CrowdStrike gibi bir şirket için, uç noktaları korumak için pazarın büyük bir bölümünde bakılıyor ve onlara güveniliyor. … ve ürün özellikle mümkün olduğunca eğrinin önünde olmak üzere tasarlanmıştır, bu da her iki şekilde de olamayacağınız anlamına gelir, tüketiciler -her zaman içsel risk olacaktır.”