Uç Nokta Algılama ve Müdahale (EDR), Olay ve İhlal Müdahalesi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Microsoft’un Aracı Fiziksel Erişim Gerektiriyor, Bu da ‘Zaman Alan ve Zahmetli Bir Görev’
Mathew J. Schwartz (euroinfosec) •
22 Temmuz 2024
Microsoft’un Cuma günü CrowdStrike bağlantılı büyük kesintiyi, tüm Windows makinelerinin “yüzde birinden azını” etkilediğini söyleyerek önemsizleştirdiği açıklaması, küresel ekonomide hala yankılanan bir olay için kurumsal bir manevra girişimidir. Kurtarma, bir blog yazısından daha zordur.
Ayrıca bakınız: Web Semineri | OT Sistemleri için Siber Dayanıklılığı ve Mevzuata Uygunluğu Geliştirme APAC
CrowdStrike’ın Falcon platformuna yönelik bir yazılım güncellemesinde bozulan 8,5 milyon sistem, Windows makinelerinin rastgele bir örneğini etkilemedi. Olay, CrowdStrike’ın vaat ettiği türden koruma gerektiren hassas işlevler için daha büyük, daha iyi finanse edilen kuruluşlar tarafından kullanılan makineleri etkiledi – sağlık, bankacılık ve finans, ulaşım ve kamu güvenliği gibi kritik sektörlerdeki bozulmalarla gösterildiği gibi.
Dublin merkezli siber güvenlik danışmanlık şirketi BH Consulting’in başkanı Brian Honan, “Bu 8,5 milyon cihaz, tehdit ve risk profilleri nedeniyle CrowdStrike’ın çözümüne yatırım yapabilecek kadar büyük kuruluşlara aitti” dedi.
İngiliz siber güvenlik uzmanı Kevin Beaumont, Pazartesi günü sosyal platform Mastodon’a yaptığı açıklamada, hatalı güncellemenin yayınlanmasından üç gün sonra temizleme çalışmalarının “devam ettiğini” söyledi.
Etkilenen sistemler, Windows’un mavi ölüm ekranıyla çökme, yeniden başlatma ve hatalı CrowdStrike dosyasını yükleme ve sonra tekrar çökme döngüsünde sıkışıp kalmışlardır. CrowdStrike’ın işletim sistemi çekirdeğine doğrudan erişimi nedeniyle Microsoft’un yerleşik bir savunması yoktu. Etkilenen sistemleri düzeltmek için dosyanın ortadan kaldırılması gerekir. Microsoft yardımcı olabilecek bir araç yayınladı veya etkilenenler silme ve geri yükleme yapabilir (bkz: CrowdStrike, Microsoft Kesintisi Büyük Dayanıklılık Sorunlarını Ortaya Çıkardı).
Beaumont, “Telafi yoluyla üçte birinden azını gerçekleştiren çok sayıda kuruluş tanıyorum” dedi.
Havayolları arasında Delta özellikle sert bir darbe almaya devam ediyor ve bu durum kurumsal düzeyde ve müşteriler için kesintilere yol açıyor. Pazartesi günü ABD saatiyle sabahın ortalarına doğru havayolu, uçuş takip sitesi FlightAware’e göre, Cuma gününden bu yana 5.000’den fazla uçuş iptali yaparak 700 veya günün uçuşlarının %19’unu iptal etti. İptaller ve yaygın gecikmeler birçok yolcuyu mahsur bıraktı ve Delta, normal operasyonlara ne zaman geri döneceğine dair bir zaman çizelgesi vermedi, Reuters bildirdi.
Microsoft, Pazar günü CrowdStrike ile geliştirdiği ve yöneticilere etkilenen sistemlerden hatalı güncelleştirmeyi kaldırma olanağı veren bir aracı yayınladı; ancak bazı uyarılar var.
Microsoft BitLocker veya benzeri bir ürünle tam disk şifrelemesi kullanılarak kilitlenen herhangi bir sistemin (bazı sektörlerde düzenleyici bir gerekliliktir) öncelikle kurtarma anahtarını giren yöneticiler tarafından kilidinin açılması gerekir.
Bazı kuruluşlar BitLocker anahtarlarını merkezi olarak depolar, ancak birçok kuruluş bunu her masaüstü veya dizüstü bilgisayar için değil, yalnızca kritik sunucular için yapar. Sonuç olarak, son kullanıcıları kurtarma sürecine dahil etmeleri gerekebilir.
Başka bir uyarı: Microsoft yardımcı programı önyüklenebilir bir USB sürücüsünden çalışır, bu nedenle yardımcı programı kullanmak sisteme fiziksel erişim gerektirir. “Hayatınız bir siteden diğerine araba sürmek, düzeltmeyi uygulamak ve devam etmek olacak. Kendi yatağınızda uyumayı veya bir fast food restoranından satın alınmamış bir yemeği yemeyi unutun,” dedi BT kişiliği Ed Zitron sistem yöneticilerine yaptığı bir övgüde.
Honan, “Çalışmayan cihazla ilgilenmek, özellikle “çok sayıda çalışanı uzaktan veya karma çalışma senaryolarında çalıştıran kuruluşlar için” kurtarma zaman çizelgesine eklenecektir, dedi. Bu personelin “cihazlarının kurtarılması için yerel veya merkez ofise gelmesi veya bir BT personelinin personel üyesinin ve cihazının olduğu yere gitmesi gerekecektir.”
CrowdStrike, etkilenen Windows istemcilerini, sunucularını ve Hyper-V sanal makinelerini tekrar çalışır hale getirmek için daha fazla seçenek sağlama sözü verdi. Pazar günü, “etkilenen sistem iyileştirmesini hızlandırmak için yeni bir teknik” test ettiğini bildirdi ve “her dakika ilerleme kaydettiğini” söyledi ancak daha fazla ayrıntı vermedi.
Pazartesi günü, CrowdStrike alt dizininin moderatörü olan “BradW”, “büyük başarı gösteren bir bulut iyileştirmesinin” ön izlemesini yaptı ve daha fazla bilginin yakında verileceğini ve müşterilere katılma olanağı verileceğini söyledi.
CrowdStrike’ın liderliği, neden olunan aksaklık için özür dilemeye devam etti ve yardım etmek için durmaksızın çalıştıklarını söyledi. “Binlerce ekip üyemiz müşteri sistemlerimizi tamamen geri yüklemek için 7/24 çalışıyor,” dedi, şu anda CrowdStrike’ın CSO’su olan FBI emektarı Shawn Henry, Pazar günü LinkedIn’e yaptığı bir paylaşımda.