Temmuz ayındaki CrowdStrike olayı, bir yazılım satıcısının ağ altyapısına derin erişim sağlamasının risklerini açıkça gösterdi. Ayrıca, dijital hizmetlerin birkaç şirketin elinde yoğunlaşmasıyla ilgili endişeleri de gündeme getirdi. Öngörülü bir Reddit gönderisinde, CrowdStrike’ın dünyanın en büyük şirketlerinin birçoğu için bir tehdit vektörü ve aynı zamanda bir veri altın madeni olduğu belirtildi.
CrowdStrike’ın 19 Temmuz’daki başarısız güncellemesinin ardından dünya çapında yaşanan bilgisayar kapanmaları göz önüne alındığında, ihtiyatlı yöneticiler “Benzer bir şeyin tekrar yaşanmasını nasıl önleyebilirim?” diye soruyor.
Büyük teknoloji pazarındaki yoğunlaşmayla, böylesine yaygın bir kesintinin tekrar yaşanması tamamen mümkün. Synergy Research Group’a göre, üç önde gelen bulut sağlayıcısı – Amazon, Microsoft ve Google – dünya çapındaki pazarın %67’sini oluşturuyor. Amazon tek başına 2023’ün sonunda pazarın %31’ine hükmediyordu.
Benzer yazılım arızalarının etkisini azaltmak için iki strateji kullanılabilir: ağ altyapınızı çeşitlendirmek ve arızaya hazırlık yapmak. Savunma eylemlerini tartışmadan önce, CrowdStrike veya diğer üçüncü taraf yazılım tedarikçilerini işinize davet etmenin risklerini tartışalım.
CrowdStrike çöküşü buzdağının sadece görünen kısmı
Cihaza dışarıdan bir yazılım veya hizmet sağlayıcısına erişim izni vermek şu riskleri beraberinde getirir:
- Ağ işlevselliğine erişim kaybı (CrowdStrike olayında olduğu gibi)
- Verilere yetkisiz erişim (IP adresiniz ve müşteri verileriniz güvende mi?)
- Toplu veriler aracılığıyla iş faaliyetlerinizin görünürlüğü
Ayrıca, verilerinizin güvenliği artık bir siber güvenlik şirketinin veya bulut hizmetleri sağlayıcısının güvenlik uygulamalarına bağlıdır.
“Mobil cihaz yönetimi” veya “cihaz izleme” araçlarını düşünün. Bunların çoğu esasen üçüncü bir tarafa şirketinizin makineleri üzerinde %100 kontrol sağlayan kök setleridir. Bu, gizli tutmak istedikleri tescilli fikri mülkiyete sahip herhangi bir şirket için akıllıca görünmüyor.
Evet, CrowdStrike birkaç milyon Windows bilgisayarı muhteşem bir şekilde çökertti ve çökertti. Ancak Windows bilgisayarlarını çökertmek buzdağının sadece görünen kısmı. Topluca ve rahatlıkla gözden kaçırdığımız daha büyük tehdit, başka bir varlığın iş operasyonlarınız üzerinde güç sahibi olmasıdır.
Gelişmiş güvenlik yazılımları olmazsa olmazdır, ancak güvenlik panelleri sağlama bahanesiyle ağınızın anahtarlarını başkasına veriyorsunuz.
İnsanlar Facebook takibinden endişe ediyor ve özel hayatları için üçüncü taraf çerezlerini kapatıyor, ancak CrowdStrike’ınki gibi yazılımlar en düşük stajyerden CEO’ya kadar her kurumsal bilgisayarı izleyebilir, izleyebilir ve takip edebilir. Çerezler endişelerinizin en küçüğüdür.
Şimdi, CrowdStrike güvenilir olsa ve yazılımları amaçlandığı gibi çalışsa bile, biri CrowdStrike’ı hacklerse ne olur? Saldırgan teorik olarak havayollarının ağlarına, bankacılık ağlarına ve küresel işletmelerin önemli isimlerine erişebilir. Bu beni endişelendiriyor. Bir tedarikçiye bu kadar kapsamlı bir ağ erişimi verirseniz, bu bir risk olarak değerlendirilmelidir.
Peki bir CIO veya CISO olarak, büyük teknoloji oyuncularının tekrar büyük ölçekli bir başarısızlığa uğrama riskini nasıl azaltırsınız?
Başarısızlığa hazır olun: Plan yapın, uygulayın, bekleyin
Başka bir büyük ölçekli sistem arızasını hafifletmenin anahtarı, felaket niteliğindeki olaylara hazırlıklı olmak ve tepkinizi uygulamaktır. Arızayla başa çıkmayı normal iş uygulamalarının bir parçası haline getirin. Arıza beklenmedik ve nadir olduğunda, bununla başa çıkma süreçleri test edilmemiştir ve hatta arızayı daha da kötüleştiren eylemlerle sonuçlanabilir.
Arızalara uyum sağlayabilen ve tepki verebilen bir ağ ve ekip kurun. Sigorta şirketlerinin kendi veri merkezlerini işlettiği ve felaket kurtarma testlerinin yılda iki kez yapıldığı zamanları hatırlıyor musunuz? Artık çok az şirket süreklilik planlamasıyla bu kadar ileri gidiyor, ancak Netflix gibi bazıları kaos mühendisliğiyle iyi bir örnek teşkil ediyor. Netflix’in Chaos Monkey açık kaynaklı yazılımı, bir sistemin dayanıklılığını test etmek için gerçek dünyadaki arızaları simüle ederek sisteme kasıtlı kesintiler getiriyor.
Netflix’e daha çok benzeyecek, Delta Airlines’a daha az benzeyecek: Delta’nın kritik mürettebat takip sistemi, CrowdStrike güncellemesinin ardından yaklaşık bir hafta boyunca çevrimdışı kaldı.
Tedarikçilerinizi ve sistemlerinizi çeşitlendirin
Büyük ölçekli arızaları en aza indirmek için ikinci strateji, dijital teknoloji tedarikçilerinin yoğunlaşmasıyla yaratılan yazılım monokültüründen kaçınmaktır. Daha karmaşıktır ancak buna değer.
Bazı şirketler çekirdek ağ ekipmanlarını üç veya dört farklı tedarikçiden satın alma politikasına sahiptir. Evet, bu günlük yönetimi biraz daha zorlaştırır, ancak bir tedarikçinin arızalanması durumunda tüm ağlarının bitmeyeceğinden emin olabilirler. İster teknoloji ister biyoloji olsun, bir monokültür tüm sistemi yok edebilecek salgın hastalıklara karşı son derece savunmasızdır.
CrowdStrike senaryosunda, eğer kurumsal ağlar Windows, Linux ve diğer işletim sistemlerinin bir karışımı olsaydı, hasar bu kadar yaygın olmazdı.
“Sistemlerinizi çeşitlendirin” düşünce okulu için, Temmuz 2022’de Kanada’da Rogers Communications kesintisi bir örnek teşkil ediyor. Kanadalı telekom sağlayıcısı, 12 milyondan fazla kullanıcıyı 26 saate kadar etkileyen kablolu İnternet ve hücresel ağlarında büyük bir hizmet kesintisi yaşadı.
Kurtarma çalışmaları, Rogers çalışanlarının çöken Rogers hücresel ve internet sistemlerini kullanma eğiliminde olmaları nedeniyle sekteye uğradı. Ofiste olmayan çalışanlar internete erişemedi veya cep telefonlarını bile kullanamadı. Üçüncü taraf bir inceleme, Rogers çalışanlarının kesintinin temel nedenini ayrıntılı olarak açıklayan kritik hata günlüklerine 14 saat sonra erişemediğini belirtti.
Çözüm
Üçüncü taraf yazılım tedarikçileri ve bulut hizmetleri BT ortamının ayrılmaz bir parçasıdır; ancak işletmelerimiz için riski en aza indirmek istiyorsak tüm yumurtalarımızı aynı sepete koyma cazibesine direnmeliyiz.
CrowdStrike’tan alınacak dersler şunlardır: Tedarikçilerinizi ve sistemlerinizi çeşitlendirin ve acil durum planlarınızı gözden geçirin.