Hatalı bir güncellemenin milyonlarca Windows makinesini çökertmesinin ardından CrowdStrike, gelecekteki dosya güncellemeleri etrafında ekstra test katmanları ekleyecek, küresel dağıtımlar düzenleyecek ve müşterilere daha fazla kontrol sağlayacak.
Uç nokta algılama ve yanıt (EDR) sağlayıcısı, geçen Cuma günü Windows sistemlerindeki sensör yapılandırması güncellemesine ilişkin olay sonrası ön bir rapor yayınladı.
Satıcı, bu yıl içerisinde dört kez başarılı bir şekilde benzer kontroller gerçekleştirdiği göz önüne alındığında, kötü güncellemenin doğası gereği güvenilir olan bir doğrulama kontrolünden yanlışlıkla geçtiğini söyledi.
“İçerik doğrulayıcısındaki bir hata nedeniyle, ikisinden biri [file updates] CrowdStrike, “Sorunlu içerik verileri içermesine rağmen doğrulamayı geçti” dedi.
Şirket, Falcon EDR müşterileri için rutin olarak iki tür güvenlik içeriği yapılandırma dosyası gönderdiğini söyledi: biri yeni sensör sürümleriyle, diğeri ise “operasyonel hızda”.
Satıcı, sensör sürümlerinin “kapsamlı QA” ve testlere tabi tutulduğunu ve “müşterilerin daha sonra filolarının hangi parçalarının en son sensör sürümünü (‘N’), bir sürüm daha eskisini (‘N-1’) veya iki sürüm daha eskisini (‘N-2’) takması gerektiğini seçme seçeneğine sahip olduğunu” söyledi.
Windows makinelerinin çökmesine neden olan yapılandırma dosyası güncellemesi, “işletimsel hızda” yayınlanan türdendi. Bu, “tehdit tespit mühendisleri tarafından telemetri toplamak, saldırgan davranış göstergelerini belirlemek ve tespitler ve önlemeler gerçekleştirmek için kullanılan” bir yetenekti.
Bu belirli güncelleme türü, şirketin bulut tabanlı Falcon platformu aracılığıyla “oluşturulur ve yapılandırılır”. “İçerik yayınlanmadan önce içerik üzerinde doğrulama kontrolleri gerçekleştiren bir içerik doğrulayıcı” bu sistemin bir parçasıdır.
Ancak bu doğrulama adımının dışında, süreçte sensör yayın sürecindeki içerikler için gerçekleşen daha sıkı kalite güvence ve testlerden bazıları eksiktir.
Ayrıca müşteri kontrolünden de yoksun olması, dosyanın CrowdStrike çalıştıran Windows uç noktalarına anında uygulanmasını açıklıyor.
CrowdStrike, gelecekte yerel geliştirici testleri, stres testleri ve kararlılık testleri de dahil olmak üzere bu dosya türlerinin daha fazla test edilmesiyle bu sorunun düzeltileceğini söyledi.
Ayrıca, “güncellemelerin sensör tabanının daha büyük bölümlerine kademeli olarak dağıtıldığı, kanarya dağıtımıyla başlanan kademeli bir dağıtım stratejisi uygulayacak” ve “müşterilere, bu güncellemelerin ne zaman ve nerede dağıtılacağına dair ayrıntılı seçim olanağı sağlayarak … güncellemelerin teslimatı üzerinde daha fazla kontrol sağlayacak.”
CrowdStrike ayrıca soruşturmaları tamamlandığında tam bir kök neden analizi yayınlamayı taahhüt etti.