Hatalı CrowdStrike güncellemesinin tetiklediği son büyük BT kesintisi nedeniyle tahmini finansal kayıpların milyarlarla ifade edildiği belirtiliyor; ancak bu talihsiz olayın birçok olumlu etkisi de oldu.
Bazı olumlu yönler
CrowdStrike, Falcon Sensörleri için güncellemeleri nasıl yayınladıklarını, öncesinde hangi testleri gerçekleştirdiklerini ve gelecekte benzer kazaların yaşanmasını önlemek için tüm süreci nasıl iyileştirmeyi planladıklarını ayrıntılı bir şekilde açıklamak zorunda kalırken, Fortinet, Secureworks ve Bitdefender gibi diğer siber güvenlik satıcıları kendi yazılım ve içerik güncelleme yayınlama süreçlerini açıkladılar.
Umuyoruz ki, ek iyileştirmelerin gerekli olup olmadığını yeniden değerlendirmek için de bu fırsatı değerlendiriyorlardır.
Microsoft’un Kurumsal ve İşletim Sistemi Güvenliği Başkan Yardımcısı David Weston, güvenlik sağlayıcılarının neden çekirdek sürücü mimarisinden yararlandığını açıklayan bir yazı kaleme aldı: sistem genelinde görünürlük, önyükleme kitlerini ve kök araç takımlarını algılama, daha hızlı veri toplama ve analizi ve kurcalamaya karşı dayanıklılık için.
“Çekirdek sürücüleri sağlar [those] “Dayanıklılık pahasına özellikler,” diye açıkladı. “Çekirdek düzeyinde çalışan tüm kodlar, normal bir kullanıcı uygulaması gibi başarısız olup yeniden başlatılamayacağı için kapsamlı doğrulama gerektirir.”
Ancak güvenlik araçlarının, güçlü bir güvenlik duruşu ve güçlü görünürlük sağlarken çekirdek kullanımını en aza indirebileceğini belirtti.
“Örneğin, güvenlik satıcıları, kullanılabilirlik sorunlarına maruz kalmayı sınırlayan veri toplama ve uygulama için çekirdek modunda çalışan minimal sensörler kullanabilir. Temel ürün işlevlerinin geri kalanı, güncellemeleri yönetmeyi, içeriği ayrıştırmayı ve diğer işlemlerin kurtarılabilirliğin mümkün olduğu kullanıcı modunda izole bir şekilde gerçekleştirilebilmesini içerir” dedi ve Windows’un kullanıcı modu korumalarının, satıcıların temel güvenlik süreçlerini korumak ve olay görünürlüğünü sürdürmek için kullanabileceğini özetledi.
Son olarak, Microsoft’un sürücüleri nasıl test ettiğini ve imzaladığını, üçüncü taraf satıcıların bunları kullanıcılara dağıtmasının alternatif yollarını (örneğin Windows Update aracılığıyla) açıkladı ve şirketin şu konudaki niyetini açıkladı:
- Üçüncü taraf satıcıların ürünlerini güvenli bir şekilde güncellemelerine yardımcı olun
- Çekirdek sürücülerinin önemli güvenlik verilerine erişme ihtiyacını azaltmak için onlarla birlikte çalışın ve
- Windows işletim sisteminde gelişmiş izolasyon ve kurcalamaya karşı koruma yetenekleri sağlayın.
Kesintinin kapsamı
UpGuard, kamuya açık verilere dayanarak CrowdStrike Falcon olayından etkilenen şirketlerin bir listesini derledi ve bu liste uzun.
Weston, Microsoft’un hatalı güncelleme nedeniyle Mavi Ekran Ölüm döngüsüne giren sistem sayısına (8,5 milyon) ilişkin son tahmininin, şirketin bilgi paylaşmayı tercih eden müşterilerden aldığı çökme raporları/dökümlerinin sayısına dayandığını söyledi.
Perşembe günü CrowdStrike, Windows Falcon Sensörlerinin %97’sinden fazlasının tekrar çevrimiçi olduğunu söyledi. Geri kalanı henüz geri yüklenmemiş Windows sistemlerinde olabilir ve sensörlerin bir kısmı olaya ani bir tepki olarak çıkarılmış olabilir.
Bu arada tehdit aktörleri kaos ortamından faydalanıyor ve halkı dolandırmak, enfekte etmek ve yanlış bilgilendirmek için CrowdStrike özür hediye kartları da dahil her türlü bahaneyi değerlendiriyor.