В четверг вечером неверно настроенное обновление контента от CrowdStrike неожиданно вызвало масштабные сбои в системах Microsoft Windows, нарушив многие жизненно важные услуги по всему миру.
CrowdStrike стремилась обновить контент, используемый их Falcon Sensor, который обеспечивает обнаружение угроз в реальном времени и защиту конечных точек, мониторя активность систем на предмет подозрительного поведения для предотвращения кибератак. Это обновление было призвано улучшить выявление злонамеренных действий на основе последних собранных разведывательных данных о угрозах.
«Это не было обновление кода, а обновление контента. Одним файлом, который управляет дополнительной логикой для выявления недобросовестных действий, вызваны проблемы исключительно в среде Microsoft», — пояснил генеральный директор и основатель CrowdStrike Джордж Курц в интервью CNBC.
Немедленный глобальный эффект
Сбой впервые был зафиксирован в Австралии, где компьютеры на базе Windows перестали работать, что привело к известной "Синей экрану смерти" (BSOD). Это ошибочное обновление вызвало глобальный сбой Windows-систем, затронув множество аэропортов, авиакомпаний, банков и сервисных компаний, зависимых от платформ на базе Windows. Сотни тысяч путешественников оказались в затруднительном положении: по данным FlightAware, цитируемым Wall Street Journal, было отменено около 2,600 рейсов в США и более 4,200 в мире.
Последствия также затронули облачную платформу Microsoft Azure, где клиенты сообщили о неработоспособности и сбоях запуска с использованием CrowdStrike Falcon. Статус здоровья Azure показал, что сбой продолжает влиять на виртуальные машины в Америке, Европе, Азиатско-Тихоокеанском регионе, а также на Ближнем Востоке и в Африке.
Команды ИТ сталкиваются с трудной задачей на предстоящие выходные и насыщенный месяц, так как многим облачным конфигурациям потребуются специфические обновления для каждого клиента. Возможно, стоит отложить крупные проекты до устранения неправильной настройки.
Призыв к действиям для повышения киберустойчивости
Киберустойчивость жизненно важна для бизнеса, позволяя им предвидеть, выдерживать и восстанавливаться от неблагоприятных условий, включая кибератаки и компрометацию систем. Директора по информационной безопасности (CISO) должны считать киберустойчивость критически важным компонентом корпоративного управления и обязанностью совета.
«Каждое предприятие сталкивается с трудностями в патчировании. Сегодняшний день был сложным для CrowdStrike и затронул многих других. Потребность в смягчении последствий неправильной настройки увеличила время отклика и исправлений», — заявил Меррит Беар, CISO компании Reco.
CISO Trustwave Кори Дэниелс заметил, что советы директоров всё чаще задаются вопросом о необходимости назначения главного офицера по устойчивости, отражая более широкую тенденцию интеграции киберустойчивости в протоколы управления рисками. Всплеск высокопрофильных атак программ-вымогателей подчеркивает серьезные последствия, с которыми сталкиваются предприятия в сложных цепочках поставок.
Ошибки в настройках подчеркивают необходимость наличия надежной киберустойчивости, заложенной в операционной деятельности компании. Как показывает история, такие сбои могут привести к значительным глобальным отключениям — реальности нашей быстро меняющейся, взаимосвязанной цифровой среды.
«Сбой на этой неделе иллюстрирует потенциальное влияние кибератаки, спонсируемой государством, на нацию, не имеющую адекватных мер кибербезопасности», — подчеркнул Беар. Для получения информации о национальной киберустойчивости ознакомьтесь с 2024 Annual Threat Assessment от Сообщества Разведки США.
Чтобы создать эффективную киберустойчивость, организациям нужно быстро выявлять проблемы, определять исправления, которые можно автоматизировать, и поддерживать четкую связь со всеми затронутыми сторонами. Отчеты должны быть точными, доступными и своевременными, давая возможность всем участникам взять на себя ответственность за результат.
«Быстрое реагирование CrowdStrike для определения причины сбоя и уведомления клиентов заслуживает похвалы, и прозрачность их CEO была оценена», — прокомментировал Пол Дэвис, Field CISO в JFrog.
Курц продолжает публиковать обновления в социальных сетях, пообещав поделиться подробным анализом причин сбоя.
Шаги по восстановлению
CrowdStrike опубликовала рекомендации для восстановления систем, затронутых сбоем. Пользователи должны сначала загрузить затронутые машины в безопасном режиме, поскольку необходимые обновления Falcon Sensor находятся в подкаталоге операционной системы Windows. Если машина использует BitLocker или полное шифрование диска, потребуется соответствующий ключ восстановления.
CrowdStrike рекомендует следующие шаги восстановления:
Дополнительные детали можно найти на официальном сайте CrowdStrike.
Киберустойчивость как мера доверия
«Поставщики безопасности должны осознавать свою ответственность за влияние на результаты клиентов. Я ожидаю, что CrowdStrike примет более осторожные методы обновления в будущем», — заметил Беар. Текущие сбои затрагивают бесчисленные жизни и останавливают бизнес, демонстрируя, что киберустойчивость должна стать основным элементом клиентского опыта, а не просто инициативой по обеспечению безопасности.
Завоевание и поддержание доверия клиентов в значительной степени зависит от киберустойчивости компании. Этот инцидент служит критическим моментом для организаций, чтобы оценить свою готовность к аналогичным вызовам.
Учитывая сложные взаимосвязи в глобальных системах, будущие сбои неизбежны. Важно, чтобы все компании проактивно повышали свою киберустойчивость сейчас, а не ждали следующего кризиса.
Рейтинг
