Dünya genelindeki Microsoft kullanıcıları, 19 Temmuz 2024 Cuma günü dünya genelinde milyonlarca Windows cihazını çevrimdışı bırakan başarısız CrowdStrike yazılım güncellemesinin ardından altyapı güvenlik kurulumlarının durumunu gözden geçirmelidir.
Microsoft’un kurumsal ve işletim sistemi güvenliği başkan yardımcısı David Weston’ın 20 Temmuz 2024’te yazdığı bir blog yazısında belirtildiği gibi, “bu bir Microsoft olayı değildi”, ancak “ekosistemimizi etkileyen” ve işletmeleri ve “birçok bireyin günlük rutinlerini” bozan bir olaydı.
Microsoft’un hesaplamalarına göre, olaydan etkilenen yaklaşık 8,5 milyon Windows cihazı, yani dünya genelinde kullanımda olan Windows makinelerinin yüzde 1’inden azı etkilendi.
Ve bu oran büyük resme bakıldığında küçük görünebilirken, 20 yılı aşkın süredir kamu sektörü ve polislik müşterilerine sistemlerini nasıl güvence altına alacakları konusunda danışmanlık yapan bağımsız bir güvenlik danışmanı olan Owen Sayers, CrowdStrike’ın kendi olay raporlama blogundan elde edilen bilgilerle birleştirildiğinde söz konusu sayıların “korkunç” olduğunu söyledi.
“ tarafından doğrulandığı gibiTeknik ayrıntılar: Windows ana bilgisayarları için Falcon içerik güncellemesi” blogunda, 19 Temmuz Cuma günü yaşanan kesintiye neden olan bozuk yazılım güncellemesi, kaldırılıp yerine düzeltilmiş bir sürüm konmadan önce yalnızca 78 dakika çevrimiçi kaldı. Sayers, “Bu süre zarfında küresel Windows cihazlarının %1’inden azını etkiledi – bu etkileyici,” dedi ancak küresel BT sistemlerimizin durumu için endişe verici etkileri de var.
Üçüncü taraf bir güvenlik ürünündeki bir hatanın bu kadar kısa sürede bu kadar büyük bir tahribata yol açabileceğini bilmek, ulus devlet korsanlarına bir sonraki saldırı dalgasını nasıl yürütecekleri konusunda düşünmeleri için fikir verebilir.
“Çinliler ve Ruslar artık küresel BT sistemlerini nasıl çökerteceklerini biliyorlar – hedefinizin kullandığı bir güvenlik ürünü bulun ve o kodu değiştirin,” dedi Sayers. “Ve bir buçuk saat içinde onları yok etme olasılığı çok yüksek.”
Seyahat aksaklığı
CrowdStrike olayı, büyük havaalanlarında ve tren istasyonlarında seyahat aksaklıklarına neden oldu ve ayrıca GP muayenehanelerinin, perakendecilerin ve Microsoft teknolojilerini kullanan diğer işletmelerin günlük operasyonlarını etkiledi. Ve bazı durumlarda, etkileri günler sonra bile hissedilmeye devam ediyor.
“İnsanlar bu tür kesintileri tam gün veya hatta hafta sonu gibi düşünmekten hoşlanıyorlar. [of disruption being caused] Sayers, “Süregelmekte olan etkisinden dolayı, ancak nedeni bir buçuk saatten daha kısa süren bir duruma indirgediğinizde, daha etkili hale geliyor” dedi.
“Bu sefer hata, çok az sayıda kuruluşun kullandığı üçüncü taraf bir üründeydi, ancak hasarın ölçeğine ve yaygınlığına bakın.”
Bunu akılda tutarak, Microsoft kullanıcı topluluğu içinde daha yüksek oranda benimsenen üçüncü taraf bir ürün benzer bir hatalı yazılım güncellemesinden muzdarip olursa ne olur? Ya da Microsoft, benzer şekilde müşterilerinin cihazlarını bozma riski taşıyan bir işletim sistemi veya hizmet paketi güncellemesini kullanıcı tabanına sunarsa?
Korkutucu bir soru gibi gelebilir ancak piyasa gözlemcisi Gartner for Technical Professionals’ın direktör analisti Eric Grenier, Computer Weekly’ye yaptığı açıklamada, CrowdStrike’a benzer şekilde Windows çekirdeğine “bağlanan” herhangi bir BT sağlayıcısının, hatalı bir güncelleme yayınlaması durumunda benzer bir akıbete uğrayabileceğini söyledi.
“Hatta bir adım daha ileri gidip, güncelleme yayınlayan her satıcının bir de ‘kötü yama’ yayınlama potansiyeli olduğunu söyleyebilirsiniz” dedi.
Bu nedenle Grenier, durumun tüm yazılım endüstrisinin bir sonraki CrowdStrike olmamalarını sağlamak için durup düşünmelerine neden olması gerektiğini söyledi. “Bu, yazılım endüstrisindeki herkesin kalite güvence süreçlerini ve yazılım güncelleme test süreçlerini gözden geçirmeleri ve bunları mümkün olan en iyi şekilde güçlendirmeleri için iyi bir zamandır,” diye ekledi.
Kullanıcı koruması
Bağımsız yazılım lisanslama danışmanlık şirketi Synyega’nın BT varlık yönetimi pazarı geliştirme ve katılım başkanı Rich Gibbons, 19 Temmuz Cuma günkü güncellemeden etkilenmeyen Windows sistemlerine sahip son kullanıcı kuruluşlarının, durumu şans eseri bir kurtuluş olarak değil, bir uyarı çağrısı olarak görmeleri gerektiğini söyledi.
“Eğer kuruluşunuz bu sorunu önlediyse, [it is] Computer Weekly’ye verdiği demeçte, “Muhtemelen CrowdStrike müşterisi olmadıkları için bunu bir uyarı olarak alın” dedi.
“Ne yazık ki, tüm kuruluşlar, üçüncü taraf bir tedarikçinin büyük bir hata yapması nedeniyle işlerinin olumsuz etkilenmesi riskine açıktır. Bu riski kabul etmek ve güçlü bir felaket kurtarma ve iş sürekliliği planlamasına sahip olmak [strategy] “Her işletme için anahtardır ve bir öncelik olmalıdır.”
Sağlam BT varlık yönetimi (ITAM) ve yazılım varlık yönetimi (SAM) sistemlerinin de yerinde olması şarttır, diye devam etti Gibbons. “Hangi yazılım ve donanıma sahip olduğunuzu, bunların nerede olduğunu bilmek, [as well as its] “Destek ve kullanım ömrü sonu durumu, son yama ve güncelleme zamanı ve verileri de, kaynakların şirket içinde veya hibrit ortamlarda bulutta olmasına bakılmaksızın etkili bir felaket kurtarma ve iş sürekliliği planına sahip olmak açısından önemlidir” dedi.
Gartner’dan Grenier’in de belirttiği gibi, bir felaket kurtarma ve iş sürekliliği stratejisine sahip olmak önemli ancak işletmelerin bunları düzenli olarak test ettiğinden de emin olmaları gerekiyor.
“Bu, bir satıcının ‘kötü bir yama’ yayınlamasının son seferi olmayacak, bu nedenle riski azaltmak için müşteri kuruluşlarının bunu gözden geçirmesi gerekecek [these] “Stratejileri inceleyip, ‘iyileşme süresi’ açısından aradıkları standardı karşıladıklarından emin olmak için test ediyoruz” dedi.
“Kuruluşlar ayrıca ortamlarındaki hangi uygulamaların ‘otomatik güncelleme’ kapsamında olduğunu gözden geçirme ve ‘kötü bir güncelleme’nin olası sonuçlarını ölçme fırsatını değerlendirmelidir.”
Bu, Grenier’in, başka bir CrowdStrike’ın yaşanması riskini azaltmak için dünya çapındaki işletmelerde “otomatik güncelleme” işlevinin genel olarak kapatılması gerektiğini savunduğu anlamına gelmiyor.
“Bu, kuruluşun risk kabul düzeyi ve uygulamaları kendilerinin yamalayıp yamalayamayacakları tarafından belirlenmelidir,” dedi. “İşletmeler, hangi uygulamaların ‘otomatik güncelleme’ olarak ayarlandığına dair belgelenmiş bir envantere sahip olmalı, ‘otomatik güncelleme’yi kapatıp kapatamayacağınız ve ‘otomatik güncelleme’ olarak ayarlanan her uygulama için kötü bir güncelleme veya yama teslim edilirse etkisinin ne olabileceğini bilmelidir.
Grenier, “Uygulamaları manuel olarak güncellemeyi seçerlerse, her uygulama için güncellemeleri test etmeye yönelik süreçler ve iş akışları oluşturmaları gerekecektir” dedi.