Czołowy dyrektor CrowdStrike przeprosił komisję rządową USA za awarię z 19 lipca, która spowodowała awarię systemów komputerowych na całym świecie i wyświetlenie przerażającego niebieskiego ekranu śmierci po wydaniu przez firmę wadliwej aktualizacji.
Incydent, który miał miejsce wczesnym rankiem w Wielkiej Brytanii, rozpoczął się, gdy CrowdStrike opublikował aktualizację swojej platformy wykrywania zagrożeń Falcon, ale z powodu błędu w narzędziu do automatycznego sprawdzania treści model zawierający „problematyczne” dane dotyczące treści mógł zostać zostać rozmieszczone.
To z kolei doprowadziło do stanu przekroczenia dopuszczalnej pamięci, który spowodował, że komputery z systemem Windows otrzymujące aktualizację wprowadziły błąd pętla rozruchowaOznacza to, że urządzenia, których dotyczy problem, uruchomiły się ponownie bez ostrzeżenia podczas procesu rozruchu, uniemożliwiając im ukończenie pełnego cyklu rozruchu.
Powstały chaos na krótki czas sparaliżował 8,5 miliona komputerów i dotknął organizacje na całym świecie, a skutki były szczególnie odczuwalne w sektorach transportu i lotnictwa.
W swoim przemówieniu otwierającym do Komisja ds. Bezpieczeństwa Wewnętrznego Izby Reprezentantów W Waszyngtonie Adam Meyers, starszy wiceprezes CrowdStrike ds. operacji kontrataku, powiedział, że organizacja zawiodła swoich klientów, wypychając wadliwą aktualizację.
„W imieniu wszystkich pracowników CrowdStrike chciałbym przeprosić. Jest nam niezmiernie przykro, że coś takiego miało miejsce i dokładamy wszelkich starań, aby zapobiec takim wydarzeniom w przyszłości” – powiedziała Meyers.
„Doceniamy niewiarygodne, całodobowe wysiłki naszych klientów i partnerów, którzy wraz z naszymi zespołami natychmiast zmobilizowali się do przywrócenia systemów i przywrócenia wielu systemów do działania w ciągu kilku godzin. Mogę państwa zapewnić, że w dalszym ciągu podchodzimy do tej sytuacji z ogromnym poczuciem pilności. »
Kontynuował: „Ujmując rzecz bardziej ogólnie, chcę podkreślić, że nie jest to cyberatak przeprowadzony przez zagraniczne szkodliwe podmioty. Incydent był spowodowany aktualizacją treści szybkiego reagowania CrowdStrike. Podjęliśmy kroki, aby upewnić się, że ten problem się więcej nie powtórzy i z radością informujemy, że od 29 lipca około 99% czujników systemu Windows jest ponownie online. »
„Odkąd miał miejsce ten incydent, pracowaliśmy nad przejrzystością i wyciąganiem wniosków z tego, co się wydarzyło” – powiedział Meyers. „Przeprowadziliśmy pełny przegląd naszych systemów i rozpoczęliśmy wdrażanie planów wzmocnienia naszych procedur aktualizacji treści, abyśmy wyszli z tego doświadczenia jako silniejsza firma. Mogę zapewnić, że wyciągniemy wnioski z tego zdarzenia i wykorzystamy je do usprawnienia naszej pracy i poprawy na przyszłość. »
Andrew Garbarino, członek i przewodniczący Podkomisji ds. Cyberbezpieczeństwa i Ochrony Infrastruktury, powiedział: „Skala tego błędu jest alarmująca. Jeżeli rutynowa aktualizacja mogłaby spowodować taki poziom zakłóceń, wyobraźcie sobie, co mógłby zrobić kompetentny i zdeterminowany podmiot państwowy. »
„Nie możemy stracić z oczu tego, jak ten incydent wpisuje się w szerszy kontekst zagrożeń” – powiedział. „Nie ma wątpliwości, że nasi przeciwnicy ocenili naszą reakcję, powrót do zdrowia i nasz prawdziwy poziom odporności.
„Jednak nasi wrogowie to nie tylko państwa narodowe posiadające zaawansowane możliwości cybernetyczne – obejmuje to szereg złośliwych aktorów cybernetycznych, którzy często prosperują w wynikającej z tego niepewności i zamieszaniu.[s] „Podczas awarii systemów informatycznych na dużą skalę” – powiedział Garbarino.
„CISA [the US Cybersecurity and Infrastructure Security Agency] „Firma wydała publiczne oświadczenie, w którym wskazała, że zaobserwowała złośliwych aktorów wykorzystujących ten incydent do popełniania phishingu i innych złośliwych działań. Oczywiste jest, że ta awaria stworzyła korzystne środowisko podatne na wykorzystanie przez złośliwe podmioty zajmujące się cyberbezpieczeństwem. »
Wywołane zakłócenia
Przewodniczący komisji Mark Green podkreślił zakłócenia w lotach, służbach ratunkowych i procedurach medycznych nie tylko w Stanach Zjednoczonych, ale na całym świecie. „Globalna awaria systemów informatycznych, która wpływa na każdy sektor gospodarki, to katastrofa, którą spodziewamy się zobaczyć w filmie” – powiedział. „Spodziewamy się, że będzie to starannie realizowane przez złośliwe i wyrafinowane podmioty państwowe.
„Co więcej, największa awaria komputera w historii była spowodowana błędem” – powiedział Green. „W tym przypadku walidator treści CrowdStrike zastosowany w czujniku Falcon nie wykrył błędu w pliku kanału. Wygląda również na to, że aktualizacja nie została odpowiednio przetestowana przed wdrożeniem w najbardziej wrażliwej części systemu operacyjnego komputera. Błędy się zdarzają, ale nie możemy pozwolić, aby błąd na taką skalę powtórzył się. »
Podczas swoich zeznań Meyers szczegółowo opisał również dokładny charakter problemu i nakreślił kroki, jakie CrowdStrike podejmuje, aby upewnić się, że to się nie powtórzy, chociaż ujawnił niewiele informacji, które nie zostały jeszcze upublicznione.
Musiał odpowiedzieć na prawie półtorej godziny pytań amerykańskich polityków, zwłaszcza dotyczących wsparcia udzielonego przez CrowdStrike operatorom krajowej infrastruktury krytycznej (CNI) dotkniętym awarią oraz własnych obserwacji wykorzystania przestojów przez cyberprzestępców .
Dostęp do jądra
Należy zauważyć, że Meyers bronił takiej potrzeby CrowdStrike będzie miał dostęp do jądra Microsoftuistotna część systemu operacyjnego Microsoft Windows, która zarządza różnymi zasobami i procesami w systemie i często obsługuje krytyczne aplikacje zapewniające cyberbezpieczeństwo, w tym czujnik wykrywania i reagowania punktów końcowych Falcon.
Po tym incydencie niektórzy twierdzili, że zezwolenie Microsoftu na taki dostęp jest niebezpieczne i że lepszą praktyką byłoby udostępnianie tych aktualizacji bezpośrednio użytkownikom.
„CrowdStrike jest jednym z kilku dostawców korzystających z architektury jądra systemu Windows, otwartej architektury jądra, co jest decyzją podjętą przez firmę Microsoft, aby umożliwić systemowi operacyjnemu obsługę szerokiej gamy sprzętu i różnych typów systemów” – powiedział Meyers.
„Jądro jest odpowiedzialne za kluczowe obszary, w których można zagwarantować wydajność, gdzie można mieć wgląd we wszystko, co dzieje się w systemie operacyjnym, gdzie można zapewnić egzekwowanie polityki – innymi słowy, zapobieganie zagrożeniom – i zapewnianie walki z manipulacją, co jest kluczowym problemem z punktu widzenia cyberbezpieczeństwa” – stwierdził. „Zwalczanie manipulacji budzi ogromne obawy, ponieważ gdy złośliwy podmiot uzyskuje dostęp do systemu, stara się wyłączyć narzędzia zabezpieczające, a aby zidentyfikować, co się dzieje, konieczna jest widoczność jądra.
„Sterownik jądra to kluczowy element każdego produktu zabezpieczającego, jaki przychodzi mi na myśl” – dodał Meyers. „To, czy wykonują większość swojej pracy w jądrze, różni się w zależności od dostawcy, ale bardzo trudno byłoby podjąć próbę zabezpieczenia systemu operacyjnego bez dostępu do jądra. »