19 lipca 2024 roku byliśmy świadkami poważnej awarii systemu antywirusowego nowej generacji (NGAV) Crowdstrike, która dotknęła organizacje na całym świecie. Po kilku dniach od tego zdarzenia chcielibyśmy podzielić się naszą analizą tego incydentu, ze szczególnym uwzględnieniem jego wpływu na klientów Sophos.
Zacznijmy od tego jakie były przyczyny globalnego „blackoutu informatycznego” oraz jakie przyniósł on skutki.
- Awaria została spowodowana aktualizacją agenta Crowdstrike Falcon Sensor dla urządzeń z systemami Windows.
- Skutkiem był tzw. niebieski ekran śmierci (BSOD) na dotkniętych maszynach.
- Incydent nie był wynikiem cyberataku, ale stanowił poważne naruszenie dostępności, co klasyfikuje go jako incydent bezpieczeństwa.
- Zakłócona została praca m.in. linii lotniczych, banków, placówek ochrony zdrowia oraz ogromnej liczby firm i instytucji na całym świecie.
Na szczęście problem ten ominął klientów Sophos.
Poniżej wyjaśniamy dlaczego:
- Klienci korzystających z rozwiązań Sophos (Intercept X, XDR, MDR) nie odczuli skutków tej awarii. Produktu Sophos same w sobie nie bazują na rozwiązaniach Crowdstrike.
- Jedynie niewielka grupa użytkowników agenta „XDR Sensor” Sophos, jako nakładki na Crowdstrike Falcon mogła zostać dotknięta problemami.
Sophos stosuje rozmaite procedury, które mają na celu zminimalizowanie możliwości popełnienia podobnego błędu. Wśród nich można wymienić:
- Rygorystyczne testy wszystkich aktualizacji w dedykowanych środowiskach przed wdrożeniem.
- Wewnętrzne wdrożenie aktualizacji dla pracowników i infrastruktury Sophos.
- Stopniowe i kontrolowane udostępnianie aktualizacji klientom.
- Ciągłe monitorowanie telemetrii i możliwość szybkiego wycofania problematycznych aktualizacji.
- Opcje zarządzania aktualizacjami przez klientów, w tym różne pakiety ważności aktualizacji.
Sytuacja związania z wpadką Crowdstrike pokazała, że jesteśmy bardzo silnie uzależnieni od nowych technologii i nawet jedno, wydawałoby się bezpieczne, bo odpowiadające za bezpieczeństwo ogniwo, potrafi położyć globalny łańcuch przepływu informacji. Musimy dobrze przemyśleć ostatnią sytuację i wyciągnąć z niej wnioski. Naszym zdaniem kluczowe aspekty, na które należy zwrócić uwagę, to:
- Świadomość, że nawet renomowani dostawcy rozwiązań bezpieczeństwa mogą doświadczyć poważnych awarii.
- Kluczowe jest posiadanie solidnych procesów testowania i wdrażania aktualizacji, zarówno przez producentów, jak i klientów.
- Musimy poprawić zdolność do szybkiego reagowania i naprawiania błędów oraz, jeśli to konieczne, wypracowanie procedur przełączenia się na systemy awaryjne.
- Nie zapominajmy też, że niezwykle ważna jest transparentna komunikacja z klientami w czasie kryzysu.
Podsumowując, incydent Crowdstrike podkreśla złożoność współczesnego cyberbezpieczeństwa.
Jako branża musimy nieustannie doskonalić nasze procesy, aby minimalizować ryzyko podobnych zdarzeń w przyszłości. Rozwiązania Sophos, dzięki wieloletniemu doświadczeniu i rygorystycznym procedurom, oferują wysoki poziom ochrony i stabilności, co jest kluczowe w dzisiejszym dynamicznym środowisku cyberbezpieczeństwa.
Warto podkreślić, że mimo konkurencji rynkowej, branża cyberbezpieczeństwa stoi zjednoczona w obliczu takich wyzwań. Naszym wspólnym celem jest ochrona organizacji i użytkowników przed zagrożeniami cybernetycznymi. W tym duchu wyrażamy nasze wsparcie dla zespołu Crowdstrike i życzymy szybkiego rozwiązania problemu wszystkim dotkniętym tym incydentem.
Życzymy także powodzenia i cierpliwości wszystkim administratorom IT, którzy skutki wpadki Crowdstrike będą odczuwać jeszcze przez jakiś czas. Łączymy się również w bólu z pracownikami zdalnymi organizacji dotkniętych problemami na całym świecie, bo rozwiązanie problemu wymaga od nich pojawienia się w siedzibie firmy. Finalnie wierzymy, że to rynek, a nie rankingi czy innego typu badania zlecone, zweryfikuje z kim warto wiązać swoją przyszłość.