Na noite de quinta-feira, uma atualização de conteúdo mal configurada da CrowdStrike causou, inesperadamente, interrupções generalizadas nos sistemas Microsoft Windows, afetando muitos serviços essenciais em todo o mundo. A intenção da CrowdStrike era atualizar o conteúdo utilizado por seu Falcon Sensor, que fornece detecção de ameaças em tempo real e proteção de endpoints ao monitorar atividades do sistema em busca de comportamentos suspeitos para evitar ciberataques. Essa atualização visava melhorar a detecção de atividades maliciosas com base nas mais recentes informações de inteligência de ameaças.
"Não foi uma atualização de código, mas uma atualização de conteúdo. Um único arquivo que impulsiona lógica adicional para identificar atores malignos foi enviado, causando problemas exclusivamente no ambiente Microsoft," explicou o CEO e fundador da CrowdStrike, George Kurtz, durante uma entrevista à CNBC.
Impacto Global Imediato
A interrupção foi primeiramente detectada na Austrália, onde máquinas Windows pararam de funcionar, resultando na famosa Tela Azul da Morte (BSOD). Essa atualização defeituosa causou uma queda mundial nos sistemas Windows, afetando numerosos aeroportos, companhias aéreas, bancos e empresas de serviços que dependem de plataformas baseadas em Windows. Centenas de milhares de viajantes ficaram presos, com relatos de cerca de 2.600 cancelamentos de voos apenas nos EUA e mais de 4.200 globalmente, segundo dados da FlightAware citados pelo Wall Street Journal.
Os efeitos se estenderam à plataforma de nuvem Microsoft Azure, onde clientes relataram falta de resposta e falhas na inicialização de máquinas Windows utilizando o agente Falcon da CrowdStrike. O Status de Saúde do Azure indicou que a interrupção continuava a afetar máquinas virtuais nas Américas, Europa, Ásia-Pacífico e no Oriente Médio e África.
As equipes de TI enfrentam um fim de semana desafiador e um mês exigente pela frente, já que muitas configurações em nuvem precisarão de atualizações específicas para cada cliente. Pode ser aconselhável adiar projetos substanciais até que a configuração incorreta seja resolvida.
Um Chamado para Aumentar a Resiliência Cibernética
A resiliência cibernética é vital para as empresas, permitindo que antecipem, suportem e se recuperem de condições adversas, incluindo ciberataques e comprometimentos de sistemas. Diretores de Segurança da Informação (CISOs) devem priorizar a resiliência cibernética como um componente crítico das responsabilidades da alta administração e do conselho.
"Cada empresa enfrenta desafios de atualização. Hoje foi um dia difícil para a CrowdStrike, impactando muitos outros. Exigir que os clientes mitigassem os problemas causados pela má configuração aumentou o tempo de resposta e remediação," afirmou Merritt Baer, CISO da Reco.
O CISO da Trustwave, Kory Daniels, observou que os conselhos estão questionando cada vez mais a necessidade de um diretor de resiliência, refletindo uma tendência mais ampla de integrar a resiliência cibernética nos protocolos de gerenciamento de riscos. Ataques vistos na mídia demonstram as sérias consequências que as empresas enfrentam em cadeias de suprimento complexas.
As configurações incorretas ressaltam a necessidade de uma robusta resiliência cibernética incorporada nas operações da empresa. Como demonstram os fatos, tais configurações podem levar a interrupções globais significativas, uma realidade em nosso acelerado e interconectado ambiente digital.
"Essa interrupção desta semana ilustra o potencial impacto de um ciberataque patrocinado por um Estado em uma nação que não possui medidas adequadas de cibersegurança,” enfatizou Baer. Para obter insights sobre resiliência cibernética nacional, consulte a Avaliação Anual de Ameaças de 2024 da Comunidade de Inteligência dos EUA.
Para construir uma resiliência cibernética eficaz, as organizações precisam identificar rapidamente os problemas, definir soluções automatizáveis e manter uma comunicação clara com todas as partes afetadas. Os relatórios devem ser precisos, acessíveis e oportunos, capacitando todos os envolvidos a assumir a responsabilidade pelo resultado.
"A resposta rápida da CrowdStrike para determinar a causa da interrupção e notificar os clientes é louvável, e a transparência do CEO foi apreciada," comentou Paul Davis, CISO de Campo da JFrog. Kurtz continua a fornecer atualizações nas redes sociais, prometendo compartilhar uma análise detalhada da causa da interrupção.
Passos para Recuperação
A CrowdStrike publicou orientações para recuperar sistemas impactados pela interrupção. Os usuários devem inicializar as máquinas afetadas em modo seguro primeiro, pois as atualizações necessárias do Falcon Sensor estão em um subdiretório do Windows. Se uma máquina utilizar BitLocker ou criptografia de disco completo, a chave de recuperação relevante será necessária.
A CrowdStrike recomenda os seguintes passos de recuperação:
Mais detalhes podem ser encontrados no site oficial da CrowdStrike.
Resiliência Cibernética como Medida de Confiança
"Os fornecedores de segurança devem reconhecer sua responsabilidade em influenciar os resultados dos clientes. Espero que a CrowdStrike adote métodos de atualização mais cautelosos no futuro,” observou Baer. A interrupção em curso afeta inúmeras vidas e paralisa negócios, indicando claramente que a resiliência cibernética deve se tornar um elemento fundamental da experiência do cliente, e não apenas uma iniciativa de segurança.
Ganhar e manter a confiança do cliente depende amplamente da resiliência cibernética de uma empresa. Este incidente serve como um momento crítico para as organizações avaliarem sua preparação para desafios semelhantes.
Dada a complexidade das interconexões nos sistemas globais, interrupções futuras são inevitáveis. É essencial que todas as empresas aprimorem proativamente sua resiliência cibernética agora, em vez de esperar pela próxima crise.
Classificação
