Dünya, Windows makineleri için Crowdstrike uç nokta güvenlik yazılımının hatalı bir güncellemesinden kaynaklanan tarihin en büyük BT kesintisinin üzerinden 16 saatten fazla bir süre geçti.
Bunun sonucunda hem Crowdstrike’ın hem de Microsoft’un hisselerinin fiyatı düştü ve şirketler, kuruluşların etkilenen iş istasyonlarını ve uç noktalarını nasıl kurtarabilecekleri konusunda tavsiyelerde bulunuyor (ve bunları güncelliyor).
Geri yükleme, BT sektöründe faaliyet gösteren ve sağlıklı sayıda BT personeli bulunan kuruluşlar için çok büyük bir sorun olmayabilir, ancak BT departmanlarını dış kaynaklı hale getirmiş veya dağınık ve hızlı bir şekilde bakımı yapılamayan çok sayıda etkilenen Windows tabanlı sisteme sahip şirketler için muhtemelen uzun bir süreç olacaktır. çok fazla (örneğin bilgi kioskları, görüntüleme sistemleri, PoS sistemleri, vb.)
Bu arada, sistem yöneticilerinin bir araya gelip sohbet ettiği subreddit’in kullanıcıları, birçok makinenin hızlı bir şekilde çalışmasını sağlamak için geliştirdikleri/kullandıkları yöntem ve prosedürleri paylaşıyorlar.
Tehdit aktörleri kaos ortamından faydalanıyor
“[The incident is] “Şirketlere milyarlarca dolara mal olacak, yasal işlemlere yol açacak ve işletmeleri ve kullanıcıları daha önce hiç görmediğimiz şekilde etkileyecek.” Adam GolanPerformanta CEO’su ve Yönetim Kurulu Başkanı Help Net Security’ye şunları söyledi.
“Saldırganlar, bu gelişmeyi izleyerek CrowdStrike’ı kimin kullandığına dair daha fazla farkındalığa sahip olabilir ve bu da ileride daha fazla siber güvenlik sorununa yol açabilir.”
Ayrıca bazı tehdit aktörlerinin, BT ve güvenlik ekiplerinin düzenli çalışmalarını ve izinsiz girişleri izlemelerini aksatan kaos ortamından faydalanması da mümkün ve muhtemel.
Crowdstrike, kuruluşları şirket temsilcileriyle resmi kanallar aracılığıyla iletişim kurmaları konusunda uyardı. Dr. Johannes UllrichSANS Teknoloji Enstitüsü Araştırma Dekanı, “Crowdstrike Support” veya “Crowdstrike Security”den geldiği iddia edilen kimlik avı e-postalarıyla ilgili raporlar aldı.
“Şu anda elimde herhangi bir örnek yok, ancak saldırganlar muhtemelen yoğun medya ilgisinden yararlanıyor. Lütfen bu şekilde iletilebilecek herhangi bir ‘yama’ konusunda dikkatli olun,” diye ekledi.
Kuruluşlar siber dayanıklılık için planlama yapmalı
“Bugün, günümüzün modern iş dünyasında İnternet ve BT sistemlerine aşırı derecede bağımlı hale geldiğimizi gösteriyor. Bu nedenle kuruluşların siber risklere yalnızca BT riskleri olarak değil, iş riskleri olarak bakmaları ve bunları buna göre yönetmeyi planlamaları gerekiyor.” Brian HonanBH Consulting CEO’su Help Net Security’ye şunları söyledi.
“Özellikle, kuruluşların yalnızca kendi sistemleri için değil, aynı zamanda tedarik zincirlerinde güvendikleri hizmetler ve sistemler için de sağlam siber dayanıklılık ve iş sürekliliği planları tasarlamaları, uygulamaları ve düzenli olarak test etmeleri gerekir. Bugünkü olaylar, kuruluşların kendi kuruluşları içinde ve aynı derecede önemli olarak tedarik zincirleri içinde siber riski yönetmek için uygun adımları atmalarını sağlamada AB NIS2 Direktifi ve AB DORA gibi düzenlemelerin önemini vurgulamaktadır.”
Manuel müdahale gerektirdiği için bu sorundan kurtulma süresinin uzun olabileceğini kaydeden uzman, kurumlara işleri açısından en kritik olan sistemleri öncelik sırasına göre belirleyip kurtarmaları tavsiyesinde bulundu.
“Bu olayın bir diğer yönü de büyük ölçekli BT altyapısının kullanımındaki ‘çeşitlilikle’ ilgilidir” diyor Tony AnscombeESET’te Baş Siber Güvenlik Evangelisti.
“Bu, işletim sistemleri (OS’ler), siber güvenlik ürünleri ve diğer küresel olarak dağıtılmış (ölçeklendirilmiş) uygulamalar gibi kritik sistemler için geçerlidir. Çeşitliliğin düşük olduğu yerlerde, bir güvenlik sorunundan bahsetmeye bile gerek yok, tek bir teknik olay, daha sonraki zincirleme etkilerle birlikte küresel ölçekte kesintilere yol açabilir.”
Bugün dünya çapında yaşanan kesintilerin bir kısmının ikincisinin bir parçası olması oldukça mümkün -ve aslında çok muhtemeldir.
Daha büyük sorunları çözmek
Crowdstrike yakın zamanda Windows’taki Falcon Sensörleri için bir güncelleme yayınladı; bu güncellemede bazı sistemleri devre dışı bırakan bir hata vardı, ancak bu son sorun kadar büyük bir kesintiye yol açmadı.
Honan, “Müşterilerinin bundan etkilenmemesini sağlamak için CrowdStrike’a test ve kalite güvence süreçlerinde neyin yanlış gittiği ve bugünkü sorunun tekrarlanmaması için ne yapacakları konusunda sorular sorulması gerekecek” diye ekledi.
Tom Lysemose HansenPromon’un CTO’su, bu gibi hatalı bir güncelleme veya yama yayınlamanın yarattığı kabusvari sorunların, çoğu firmanın bunları uygulamaya koymadan önce yaklaşık bir ay kadar beklemesinin nedeni olduğunu söylüyor.
Maalesef Falcon aracısı güncellemeleri otomatik olarak uygulamak için izin istiyor ve genellikle bu izin kendisine veriliyor.
Jake WilliamsEski bir NSA hacker’ı ve Hunter Strategy’de Ar-Ge Başkan Yardımcısı olan , bu olayın, SaaS tabanlı servislerin güncelleme döngülerini sistem yöneticilerinin elinden almasının risklerini ortaya koyduğunu belirtti.
“Birçok güvenlik ekibi, uç nokta koruma platformlarının imza güncellemelerinin genellikle kod içerdiğini ve bu durumun sorunu daha da kötüleştirdiğini fark etmiyor. Bu işletim modelinde değişiklikler görmeyi beklemeliyiz. İyisiyle kötüsüyle CrowdStrike, BT müdahalesi olmadan güncellemeleri itme işletim modelinin neden sürdürülemez olduğunu gösterdi,” diye görüş bildirdi.