Bu hafta pişmanlık duyan bir CrowdStrike yöneticisi, şirketin 19 Temmuz’da yayınladığı ve dünya çapında 8,5 milyon Windows sisteminin çökmesine neden olan hatalı içerik yapılandırma güncellemesinin, o zamandan bu yana çözülen bir dizi sorunun “mükemmel fırtınası” sonucu olduğunu söyledi.
CrowdStrike’ın kıdemli başkan yardımcısı Adam Meyers, 24 Eylül’de Temsilciler Meclisi İç Güvenlik Komitesi üyeleri önünde ifade verirken, olaydan dolayı özür diledi ve komiteye şirketin o tarihten bu yana benzer bir başarısızlığın önlenmesi için attığı adımlar konusunda güvence verdi.
Meclis Komitesi duruşma çağrısında bulundu Temmuz ayında, şirketin Falcon Sensor’ı için yapılan bir CrowdStrike içerik yapılandırma güncellemesi milyonlarca Windows sisteminin çökmesine neden olarak dünya çapında işletmeler, devlet kurumları ve kritik altyapı kuruluşları için yaygın ve uzun süreli hizmet kesintilerine yol açtı. Bazıları, olaydan etkilenen kuruluşların milyarlarca dolar değerinde zarar ettiğini tahmin etti.
Satranç Oyunu Ters Gitti
Olayın temel nedeninin açıklanması istendiğinde Meyers, Temsilciler Meclisi Komitesine sorunun Falcon sensörünün beklentileri ile içerik yapılandırma güncellemesinin gerçekte içerdiği arasındaki uyumsuzluktan kaynaklandığını söyledi.
Esasen, güncelleme Falcon Sensor’un ne yapılacağına dair karşılık gelen kuralları olmayan bir tehdit algılama yapılandırmasını takip etmeye çalışmasına neden oldu. “Bir satranç tahtasını düşünürseniz [and] Meyers, “bir satranç taşını kare olmayan bir yere taşımaya çalışmak” dedi. “Sensörün içinde olan şey tam olarak buydu. Bu bir tür sorunların mükemmel fırtınasıydı.”
Meyers, CrowdStrike’ın içerik yapılandırma güncellemelerine yönelik doğrulama ve test süreçlerinin sorunu tespit edemediğini, çünkü bu özel senaryonun daha önce gerçekleşmediğini açıkladı.
Teksas Temsilcisi Morgan Luttrell, CrowdStrike’ın hatalı güncellemeyi tespit edememesini, özellikle hükümet ve kritik altyapı sektörlerinde büyük bir varlığı olan bir şirket için “çok büyük bir hata” olarak nitelendirdi. “Kuzey Kore, Çin ve İran’dan bahsettiniz [and other] Luttrell duruşma sırasında “Dışarıdan aktörler her gün bizi yakalamaya çalışıyor” dedi. “Evin içinde kendi ayağımıza sıktık”, hatalı güncellemeyle. Luttrell, CrowdStrike’ın Temmuz ayından bu yana hangi önleyici tedbirleri uyguladığını bilmek istedi.
Meyers, yazılı ifadesinde ve komite üyelerinin sorularına verdiği yanıtlarında CrowdStrike’ın benzer bir hatayı önlemek için uyguladığı birkaç değişikliği sıraladı. Önlemler arasında yeni doğrulama ve test süreçleri yer alıyor. müşteriler için daha fazla kontrol güncellemeleri nasıl ve ne zaman alacakları ve CrowdStrike’ın sorunlar ortaya çıkarsa güncellemeyi hızla geri almasını sağlayan aşamalı bir dağıtım süreci. Olayın ardından CrowdStrike ayrıca tüm içerik güncellemelerini kod olarak ele almaya başladı, yani kod güncellemeleriyle aynı düzeyde inceleme ve testten geçiyorlar.
Çoklu Değişiklikler
Meyers, “19 Temmuz 2024’ten bu yana, müşterilerimizi hızla gelişen siber tehditlere karşı koruma yeteneğimizi tehlikeye atmadan, dağıtım süreçlerimizi daha sağlam hale getirmek ve bu tür olayların tekrarlanmasını önlemeye yardımcı olmak için birden fazla geliştirme uyguladık” dedi. yazılı tanıklık.
Meyers, komite üyeleri kendisine bu uygulamayla ilişkili potansiyel riskler hakkında soru sorduğunda CrowdStrike gibi şirketlerin işletim sisteminin çekirdek düzeyinde güncellemeler yapmaya devam edebilmesi gerektiğini savundu. “Kullanıcı modunda işler yürütülebilse de, güvenlik açısından çekirdek görünürlüğünün kesinlikle kritik olduğunu düşünüyorum” dedi. kök neden analizi CrowdStrike, olayla ilgili olarak, güvenlik sağlayıcılarının Windows çekirdeği yerine doğrudan kullanıcı alanına güncellemeler yayınlayabilmesi için Windows ekosisteminde hala önemli çalışmalar yapılması gerektiğini belirtti.
Büyük Resmi Kaçırıyor Musunuz?
Ancak bazıları duruşmanın olaydan çıkarılacak daha önemli sonuçları belirlemek ve bunlara odaklanmak için yeterli olmadığını düşündü. RSA’nın baş ürün ve teknoloji sorumlusu Jim Taylor, “19 Temmuz kesintisini bir CrowdStrike başarısızlığı olarak düşünmek tamamen yanlıştır” diyor. “8 milyondan fazla cihaz arızalandı ve bu cihazların kesintiye dayanacak şekilde yedeklerinin olmaması veya çalıştırdıkları Microsoft sistemlerinin şirket içi yedeklere varsayılan olarak geçememesi CrowdStrike’ın hatası değil” diye belirtiyor.
Küresel kesinti, kuruluşların yıllarca dayanıklı sistemler kurma sorumluluğunu terk edip bunun yerine kritik işlevleri yerine getirmek için sınırlı sayıda bulut sağlayıcısına güvenmelerinin sonucuydu. Meyers, “Tek bir şirkete odaklanmak, ağaçları ormanı gözden kaçırmak demektir,” diyor. “Keşke duruşma, kuruluşların bir kesintiye dayanabilecek dayanıklı sistemler kurmak için ne yaptıklarını sormak için daha fazla şey yapsaydı.”
Lumifi’nin baş bilgi güvenliği sorumlusu (CISO) Grant Leonard, duruşmanın bir eksikliğinin kesintinin temel nedenine aşırı vurgu yapılması ve öğrenilen derslere nispeten daha az odaklanılması olduğunu söylüyor. Leonard, “Kriz sırasında CrowdStrike’ın karar alma süreci, etkilenen müşterilerle iletişim stratejileri ve gelecekte benzer olayları önleme planları hakkında sorular, sektör için daha uygulanabilir içgörüler sağlayabilirdi” diyor. “Bu alanları araştırmak, diğer şirketlerin olay yanıt protokollerini ve kalite güvence süreçlerini iyileştirmelerine yardımcı olabilir.”
Leonard, duruşmanın siber güvenlik sektöründe kalite güvence süreçlerine yenilenmiş bir vurguyla sonuçlanmasını bekliyor. “Muhtemelen iş sürekliliği ve felaket kurtarma planlarının sağlam incelemelerinde ve deneme çalışmalarında bir artış göreceğiz,” diyor. Olay ayrıca, şirketlerin daha sıkı test protokolleri uygulamasıyla sektör genelinde otomatik güncellemeler ve yamalar konusunda daha temkinli bir yaklaşıma yol açabilir. “Ek olarak, siber güvenlik hizmet sözleşmelerindeki sorumluluk ve tazminat maddelerinin yeniden değerlendirilmesine yol açabilir ve bu da potansiyel olarak tedarikçiler ve müşteriler arasındaki sorumluluk dengesini değiştirebilir.”