19 Temmuz 2024’te CrowdStrike’ın Falcon aracısına yapılan kritik bir güncelleme, Microsoft Windows çalıştıran çok sayıda sistemi etkileyen ve yaygın bir kesintiye neden olan önemli bir küresel BT kesintisine yol açtı. Bu olay hakkında daha derin içgörüler elde etmek için Omdia’da Siber Güvenlik Araştırmaları Kıdemli Direktörü olan Maxine Holt ile bir araya geldik. Siber güvenlik eğilimlerini ve olaylarını analiz etmedeki kapsamlı deneyimiyle Maxine, kesintiye katkıda bulunan faktörler, yanıtın etkinliği ve siber güvenlik uygulamaları için daha geniş kapsamlı etkiler hakkında değerli bakış açıları sağladı. Sohbetimizde çeşitli sektörlerin karşılaştığı zorlukları, öğrenilen dersleri ve bu olayın gelecekteki siber güvenlik stratejilerini ve satıcı ilişkilerini nasıl şekillendirebileceğini tartıştı.
CrowdStrike güncellemesinin neden olduğu küresel BT kesintisine yol açan olaylara ilişkin bir genel bakış sunabilir misiniz? Bu kesintinin yaygın etkisine katkıda bulunan ana faktörler nelerdi?
Yazılım satıcıları ürünlerine sık sık güncellemeler sağlar, bazen tüm ürüne, bazen de sadece dahili dosyalara. Ancak 19 Temmuz’da, dahili dosyalara yapılan bu güncellemelerden biri sorunlara yol açtı ve Microsoft Windows çalıştıran makineler toplu olarak “tuğlalandı”. Bu, işletim sisteminin kurtarılamaz bir arıza tespit ettiği ve daha fazla hasar riskine girmek yerine sistemi kapatmak üzere tasarlandığı anlamına gelir. Bu durumda, arıza CrowdStrike’ın Falcon aracısından kaynaklandı çünkü dahili bir dosyayı işlemeyi başaramadı.
Yazılım güncellemelerinde hatalar ne kadar yaygındır ve bu güncellemenin bu kadar felaket etkisi yaratmasının nedeni nedir?
Nadir de olsa, yazılım güncellemelerinde hatalar meydana gelir. Satıcılar, düzenli yazılım geliştirme sürecinin bir parçası olarak dahili testler yaparlar. Bu güncellemenin dağıtımından önce CrowdStrike’ta test rejiminin ne olduğunu henüz bilmiyoruz. Ancak, bu güncellemenin üç şeyden dolayı büyük bir etkisi oldu: a) bir güvenlik aracı olarak, bu CrowdStrike yazılımının çekirdek modunda çalışması gerekir. Bu mod esasen sisteme ve kaynaklarına yüksek ayrıcalıklı erişim olarak özetlenebilir. Çekirdek modu arızaları için kurtarma, çekirdek dışı mod arızalarından çok daha zahmetlidir. b) Bu noktada, arıza koşulunun nispeten sık bir şekilde tetiklenebileceği anlaşılıyor, c) CrowdStrike birçok kuruluşta yaygın olarak dağıtılıyor, bu nedenle arıza çok sayıda sistemi etkiledi.
Bulut hizmetlerine olan bağımlılığın kesintinin boyutunda nasıl bir rolü oldu?
Bulut hizmetlerine bağımlılıktan daha fazlası, kurtarma işleminin etkilenen makineye (gerçek veya sanal) “Güvenli Mod” olarak adlandırılan şekilde erişilmesini gerektirmesiydi. Bunu yapmak için özel yönetici parolaları ve konsol üzerinden doğrudan erişim gerekir. Bunu fiziksel sistemlerde yapmak zordur ve sanal sistemlerde normalden daha zahmetlidir.
Bu büyüklükte bir BT kesintisiyle karşı karşıya kalan kuruluşlar hangi acil adımları atmalıdır?
Bu, kuruluşun iş sürekliliği planlarını yürürlüğe koyup koymaması gerektiğini hızla sınıflandırması ve belirlemesi gereken durumlardan biridir. Bu, kuruluşa göre değişecektir ve bölge veya uygulama bazında yapılabilir. Bu planların bir kısmının müşteriler, ortaklar ve diğer paydaşlarla uygun iletişimleri içermesi çok olasıdır ve önerilir.
Sizce CrowdStrike ve Microsoft’un bu senaryoda aldığı hafifletme önlemleri ne kadar etkiliydi?
Microsoft sorunu araştırdı ve sorunun üçüncü taraf bir güncellemeden kaynaklandığını hızla tespit etti. CrowdStrike web sitesine göre, sorun güncelleme yayınlandıktan çok kısa bir süre sonra tespit edildi ve sorunlara neden olan sensör yapılandırması güncellemesi 78 dakikada giderildi. Olay tespiti ve müdahalesi oldukça hızlıydı ancak hasarı sınırlamaya yetmedi. Analistlerimizden birinin de belirttiği gibi, bu bir tür “mükemmel fırtına”ydı: Geniş bir kurumsal cihaz yelpazesinde ayrıcalıklı modda çalışan bir bileşenin felaket niteliğinde bir arızası ve bu arızanın giderilmesi, etkilenen her sisteme zahmetli bir yönetim erişimi gerektiriyor.
Microsoft bunun kendi sorumlulukları olmadığı konusunda netti ve bu anlaşılabilir bir durum. CrowdStrike ilk etapta düzeltmeye odaklandı ve sorunun nasıl düzeltileceğine dair teknik rehberliği hemen paylaşmakta gecikmedi. Bu olumlu bir şey elbette.
Kesintiden en çok hangi sektörler etkilendi ve bu sektörlerin karşılaştığı özel zorluklar nelerdi?
Finansal hizmetlere odaklanabiliriz. Gerçek etkiyi hala değerlendiriyor olsak da, 100’lerce olmasa da 100’lerce bankayı etkiledi. Hayati bankacılık hizmetlerine erişim, ödeme gönderme/alma veya hatta finansal piyasalarda işlem yapma yeteneği dahil olmak üzere finansal hizmetlerin çeşitli segmentlerini etkiledi. İngiltere ve Avrupa bankacılık sektörü, Swift ağını vuran ve yüksek değerli ve zamana duyarlı işlemleri ve özellikle İngiltere’de ev satın almak için kullanılan Chaps sistemlerini etkileyen bir önceki gün (perşembe günü) yaşanan kesintiden zaten sarsılmıştı. Bu, Haziran ayında İngiltere’nin daha hızlı ödeme sistemini vuran ve birkaç kişinin maaşlarını geç alması anlamına gelen benzer kesintileri takip ediyor. Tepki açısından, büyük ölçüde manueldi. BT işlevlerinin soruna geçici çözümler bulması gerekiyordu ve BT yöneticileri, yeniden başlatmanın sorunu çözmemesi durumunda makineleri manuel olarak güncellemek için fiziksel bir varlığın tek seçenek olduğunu bildirdi. Bulut müşterileri de güvenli modda yeniden başlatma konusunda sorunlar yaşadı.
Birçok BT uzmanı, sistemleri kademeli olarak tekrar çevrimiçi hale getirmek için gece geç saatlere ve sonraki hafta sonuna kadar çalışmış olacaktır. Sistemler geri dönse bile, kesintinin yarattığı dalga etkisi, güvenlik açısından kritik olmayan yama dağıtımları, yazılım geliştirmeleri ve diğer iş iyileştirme girişimlerinin birikmiş işleri de dahil olmak üzere diğer gecikmelere ve iş etkilerine yol açacaktır.
Genel olarak, her sektör etkilendi çünkü neredeyse her sektör dijital olarak bağımlı ve Windows birçok sektör için önemli bir işletim sistemi. Dijital bağımlılık dijital dayanıklılık gerektirir ve bu dayanıklılık 19 Temmuz’da mevcut değildi.
Kesinti sağlık, bankacılık ve ulaşım gibi temel hizmetleri nasıl etkiledi?
FS için Q6’ya verilen cevaba bakın. Örneğin, Birleşik Krallık’ta sağlık hizmetleri için birçok profesyonel hasta kayıtlarına erişemedi. Elbette, bu sistemler hasta sağlığı için kritik öneme sahiptir ve kesintilerin burada potansiyel olarak yaşamı tehdit edici bir etkisi vardır. Bilgi güvenliğinin odak noktası, bilgi ve sistemlerin gizliliğini, bütünlüğünü ve kullanılabilirliğini (CIA) sağlamaktır ve 19 Temmuz’da birçok sektördeki birçok kuruluş ihtiyaç duyduğu kullanılabilirliğe sahip değildi.
Bu kesintiden etkilenen işletmeler için hangi uzun vadeli etkileri öngörüyorsunuz? Bu olay, bulut hizmetleri ve siber güvenlik çözümlerinin kullanımıyla ilgili gelecekteki kararları nasıl etkileyebilir?
Siber güvenlik teknolojisi, dijital bilgi ve sistemlerin CIA’sını korumak için gereken insan, süreç ve teknoloji üçlüsünün temel bir bileşenidir. Bu nedenle, buna olan ihtiyaç azalmayacaktır. Hemen sonrasında, CrowdStrike’ın potansiyel müşterileri siber güvenlik yeteneklerinin yatırıma değer olduğuna ikna etmek için (çok) daha fazla çalışması gerekeceği anlamına geliyor. Diğer siber teknoloji satıcıları, potansiyel müşterilerini yazılımlarında aynı şeyin olmayacağına ikna etmek için çok çalışmak zorunda kalacaklar. Uzun vadede, çekirdek modu güncellemelerinin dağıtımının gözden geçirilmesi gerekecek ve kuruluşların dağıtımdan önce bunları test etmek için bu güncellemeler için “hazırlık gönderileri” desteğine ihtiyacı olacak. Başka bir deyişle, satıcı yazılımı bir hazırlık gönderisine sağlar, hazırlık gönderisi testleri yapar ve ardından daha geniş filoya dağıtır.
Siber güvenlik sektörünün bu olaydan çıkarması gereken en önemli dersler nelerdir?
Bu bir siber saldırı değildi, gerçekçi olarak, çekirdek modunda çalışan yazılımları etkileyen güncellemeler sunan herhangi bir yazılım satıcısının (siber güvenlik veya başka bir şey) sunabileceği bir yazılım güncellemesiydi. Bu nedenle, bundan sadece siber güvenlik sektörünün değil, teknoloji sektörünün de ders çıkarması gerekiyor. Çekirdek modu güncellemeleri için “paylaşılan sorumluluk” modelinin dikkate alınması gereken bir yanı var (şu anda esas olarak bulut ortamlarına uygulanan “paylaşılan sorumluluk” modeli), müşterilerin teknolojiyi kullanmalarını desteklemek.
Sizce bu olay siber güvenlik uygulamalarının ve satıcı ilişkilerinin geleceğini nasıl şekillendirecek? Siber güvenlik topluluğu bu tür yaygın kesintileri önlemek ve daha iyi ele almak için hangi adımları atmalıdır?
Siber güvenlik sektöründe tedarikçi konsolidasyonuna yönelik arzu ve ihtiyaç devam edecektir. Ancak Omdia, yorumu gereksinimi özetleyen bir CISO ile görüştü: “Daha az tedarikçiyle konsolidasyon, herhangi bir sorunun [such as the CrowdStrike one] büyük bir operasyonel etkiye sahiptir. İşletmeler, tedarikçilerinden sıkı testler ve şeffaflık talep etmelidir.”
Siber güvenlik topluluğu için bariz ifade, özellikle kritik görev olarak tanımlanan sistemlere otomatik olarak dağıtım yapmadan önce tedarikçilerden gelen güncellemeleri test etmeyi destekleyen operasyonel uygulamalara sahip olmaktır. Teknoloji tedarikçileri için bariz ifade ise dağıtımdan önce güncellemeleri kapsamlı bir şekilde test etmektir. Ancak bunlar bariz ifadelerdir ve tedarikçiler ile müşteriler arasındaki bu güncellemeler için sorumlulukları belirlemek için yapılması gereken çok şey vardır.