“Sorunların mükemmel fırtınası” ve dahili doğrulama hataları CrowdStrike’ın arızalı yazılım güncellemesi O küresel bir BT ağ kesintisine neden oldu Temmuz ayında bir yönetici Salı günü kongre duruşmasında verdiği ifadede şöyle dedi.
CrowdStrike’da karşı saldırı operasyonlarından sorumlu kıdemli başkan yardımcısı Adam Meyers, tüm sorumluluğu kabul etti ve Temsilciler Meclisi Siber Güvenlik ve Altyapı Koruma Alt Komitesi üyeleri önünde verdiği ifadede, tarihin en büyük BT kesintilerinden birine neden olduğu için şirket adına özür diledi.
Meyers, “Güvenin oluşması yıllar, kırılması ise saniyeler alır. Biz güveni kırdığımızı ve onu geri kazanmak için çalışmamız gerektiğini biliyoruz” dedi.
Alt komite üyeleri siber güvenlik sektörünün teknik zorluklarına karşı büyük ölçüde anlayışlıydı, ancak birkaç çatışma anında kanun koyucular CrowdStrike’ın hatanın test sırasında gözden kaçmasına izin veren süreçlerini eleştirdiler.
“Çok büyük bir ıskalama gibi görünüyor. Siz birçok şeye dokunuyorsunuz. Amerika Birleşik Devletleri’ndeki birçok altyapıya dokunuyorsunuz, bu konuda size güveniyoruz ve bu zamana kadar harika bir iş çıkardınız,” dedi Temsilci Morgan Luttrell.
“Kuzey Kore, Çin ve İran’dan bahsediyorsunuz, dış aktörlerimiz her gün bizi yakalamaya çalışıyor. Evin içinde kendi ayağımıza kurşun sıktık.”
Bu olayda hata CrowdStrike’ta olsa da, bu hatanın Windows kullanıcıları üzerindeki geniş etkisi, siber güvenlik satıcılarının uygulamalarını, özellikle de araçlarının Windows çekirdeğine derin kontrol ve erişime olan bağımlılığını sorgulattı.
Microsoft’un katılımı önemlidir ve Microsoft’un bu konuya verdiği yanıt yakından izlenmektedir. siber güvenlik stratejisini gözden geçirmekGeçtiğimiz hafta Microsoft bazı dahili testler ve sistem değişiklikleri özetlendi Üçüncü taraf sağlayıcılar aracılığıyla başka bir yaygın kesintinin önlenmesi için çalışmalar yapılıyor.
Meyer’in ifadesinden çıkarılacak beş sonuç şunlardır:
1. CrowdStrike’ın test süreci başarısız oldu.
CrowdStrike’ın hatalı 19 Temmuz güncellemesinden önce ve sırasında içerik güncellemelerini test etme süreci, içerik kanalı dosyalarını tek tek test eden ancak toplu olarak test etmeyen doğrulayıcılara dayanıyordu. Bu durum o zamandan beri değişti.
Meyers, “Yeni metodoloji, erken benimseyenlere sunulmadan önce tüm içerik güncellemelerini şirket içinde test etmek” dedi.
Meyers’in tanıklığı sırasında, bazı kanun koyucular hatalı sensör içerik güncellemesinde neyin yanlış gittiğini anlamak istediler. İşlemler takip edildi, ancak bu dahili işlemler hatayı yakalamada başarısız oldu.
Meyers, “Kanalların her birini test ettik, dolayısıyla o içerik dosyasının içindeki farklı kuralların her biri ayrı ayrı test edildi” dedi.
Doğrulayıcılar, kuralların uyumlu olduğundan ve CrowdStrike’ın içerik güncellemesi için oluşturduğu yapıyla uyumlu olduğundan emin oldular. Meyers, “Temiz veya iyi olarak test edildi ve bu yüzden yayınlanmasına izin verildi,” dedi.
Ancak içerik dosyası çekirdekte bir sorun tetikledi. Meyers, “Bu, bir satranç tahtasının bir satranç taşını kare olmayan bir yere taşımaya çalışmasına benziyor. Sensörün içinde gerçekleşen şey de aslında bu,” dedi.
Yapılandırma güncellemesinde, alanlardan birinin kurala bağlı olmamasına neden olan bir uyumsuzluk vardı.
“Bu, süreci takip etmeme eksikliğinden kaynaklanmıyordu. Bu, içerik doğrulayıcısıyla ilgili bir sorundu,” dedi Meyers. “Mükemmel fırtına, içerik doğrulayıcısının içerik yapılandırmasının sensöre gitmesine izin vermesi ve sensörün aradığı kuralı bulamamasıydı, bu da soruna neden oldu.”
Meyers, neyin yanlış gittiğine dair yenilik faktörünün farkındaydı ve şöyle dedi: “Bildiğim kadarıyla bu sorun ilk kez ortaya çıkıyor.”
2. CrowdStrike, Windows sistemlerinde çekirdek erişimine neden ihtiyaç duyduğunu açıklıyor.
Çekirdek, Windows işletim sisteminin en merkezi kısmıdır ve donanımla arayüz oluşturmaktan sorumludur. Meyers, siber güvenlik araçlarının performansı garanti altına alması, sistem genelinde görünürlüğü koruması ve tehdit önleme sağlaması için de kritik öneme sahip olduğunu söyledi.
“Çekirdek sürücüsü, aklıma gelen her güvenlik ürününün temel bir bileşenidir. Çoğu işlerini çekirdekte yaptıklarını söyleyip söylememeleri satıcıdan satıcıya değişir, ancak çekirdek erişimi olmadan işletim sistemini güvence altına almaya çalışmak çok zor olurdu,” dedi Meyers.
Meyers, Windows çekirdeğinin ayrıca siber suçluların güvenlik araçlarını devre dışı bırakmasını önlemek için olmazsa olmaz olan güvenlik açıklarına karşı koruma sağladığını söyledi.
Meyers, tehdit gruplarının çekirdeğe erişip güvenlik ürünlerini ve özelliklerini devre dışı bırakmasını veya kaldırmasını engellemek için çekirdek görünürlüğünün kritik öneme sahip olduğunu söyledi.
“Bu davada yanıldık ve yaşananlardan ders çıkararak bunun bir daha yaşanmamasını sağlayacak değişiklikleri hayata geçirdik.”
Microsoft, çekirdeğin dışındaki güvenlik yeteneklerini, kurcalamaya karşı koruma ve güvenlik sensörü gereksinimleri de dahil olmak üzere artırmayı planladığını söyledi.
3. CrowdStrike müşterileri artık içerik güncelleme hızını kontrol edebiliyor.
CrowdStrike içerik güncellemeleri artık Meyers’ın “eşmerkezli halkalar sistemi” olarak tanımladığı bir katılım modeli altında çalışıyor. Aşamalı yaklaşım, müşterilere sistemlerinin içerik yapılandırma güncellemelerini ne zaman ve nasıl alacağını seçme olanağı sağlıyor.
Bu yeni süreçteki ilk adım olan test, CrowdStrike’ın içinde gerçekleşir. Müşteriler buradan, CrowdStrike bunları kullanıma sunar sunmaz içerik güncellemelerini almak için erken benimseyen programının bir parçası olmayı seçebilirler.
Genel kullanılabilirlik erken benimsemeden sonra gerçekleşir ve müşteriler kendi takdirlerine bağlı olarak güncellemeleri daha fazla geciktirebilir veya hiç almamayı seçebilirler. CrowdStrike bu içerik güncelleme kontrollerini tek taraflı olarak geçersiz kılamaz.
Meyers, “Bir kuruluş içerik güncellemelerini zamanında almak ve herhangi bir sonuç veya beklenmeyen davranış olmadığından emin olmak istiyorsa, erken benimseme kurumsal test amaçları için uygundur” dedi.
Meyers, “Görev açısından kritik öneme sahip sistemler veya daha uzun süre beklemeyi tercih edebilecekleri şeyler için bunu yapmayı seçebilirler, ancak bu elbette sistemlerine sağlanan en güncel tehdit istihbarat bilgilerini alamama riskini de beraberinde getiriyor” dedi.
4. CrowdStrike, içerik güncellemelerini kod olarak ele alma politikasını değiştirdi.
Sınır dışı bellek okumasına neden olan temel bir alan girişi hatasını da içeren hatalı içerik yapılandırma güncellemesi bir kod değil, CrowdStrike müşterilerinin sensörlerine dağıtılan bir tehdit bilgisiydi.
Hatanın ardından CrowdStrike artık test açısından yazılım kodu değişiklikleri ile içerik yapılandırma güncellemeleri arasında bir ayrım yapmıyor.
Meyers, “Yapılandırma artık kod olarak ele alınıyor, oysa daha önce yalnızca yapılandırma bilgisi olarak ele alınıyordu,” dedi. “Bu yüzden bunun ne olduğu ve sisteme nasıl gönderildiği konusunda çok daha fazla denetim ve görünürlük sağlıyoruz.”
CrowdStrike’ın sensörler için içerik güncellemeleri, erken benimseyenlere veya genel kullanılabilirlik güncellemelerini seçen müşterilere dağıtılmadan önce artık daha titiz dahili testlerden geçiyor.
Meyers, “Daha önce sensör paketlerimizde, tüm kaynak kodlarımızda bu yerleşik en iyi uygulamalar zaten mevcuttu ve şimdi bunu içerik güncellemelerine de uyguluyoruz” dedi.
5. Hızlı içerik yapılandırma güncellemeleri kalıcıdır.
CrowdStrike, Windows sensörleri için günde ortalama 10 ila 12 kez içerik yapılandırma güncellemeleri yayınlıyor.
Meyers, bu güncellemelerin “sensörümüzü, aracımızı donatmak ve hangi yeni tehditlerin ortaya çıktığını anlamak için en son tehdit istihbarat bilgilerini içerdiğini” söyledi.
Meyers, “Tehdit manzarası bazen dakikadan dakikaya değişiyor,” dedi. “Bu tehditlerin önünde kalmak, CrowdStrike platformunun bu tehditleri tespit edip önlemesine olanak sağlamak için rutin güncellemelere ihtiyacı var.”
Meyers, CrowdStrike’ın sensörleri ne sıklıkla güncelleyeceğini sınırlamayı planladığına dair herhangi bir işaret vermedi.
Meyers, “Karşı karşıya olduğumuz tehditlerin önünde kalabilmek için ürünümüzü tehdit bilgileriyle gerektiği kadar sık güncellemeye devam edeceğiz,” dedi. “Bu tehdit aktörlerinin önünde kalabilmek için bu alanda hız önemlidir.”