Olay ve İhlal Yanıtı, Güvenlik Operasyonları
Saatler süren kesintilerden sonra, XDR satıcısı tam kök neden analizi vaat ediyor
Mathew J. Schwartz (Euroinfosec) •
30 Mayıs 2025
Siber güvenlik satıcısı Sentinelone Perşembe günü yazılım güncellemelerini bozan ve bazı müşterilerin uç noktalarını ve ağlarını izlemesini sağlayan büyük bir kesinti yaptı.
Ayrıca bakınız: AI Gap, siber saldırılara karşı mücadele eden savunucuları bırakır
Kesintiler raporları Perşembe günü saat 14: 00’den sonra veya ABD Pasifik saatinden sonra ortaya çıkmaya başladı. Kesinti, sadece uç nokta cihazlarında ve ağ teknolojisinde değil, aynı zamanda bulut uygulamaları ve hizmet olarak yazılım sağlayıcılarında da sekmeleri koruyan genişletilmiş algılama ve yanıt satıcısının hizmetlerinin bazı yönlerini bozdu.
Olaya yaklaşık altı saat sonra Sentinelone bu güncellemeyi müşterilere yayınladı: “Ticari müşterileri küresel olarak etkileyen devam eden konsol kesintilerinin farkındayız ve şu anda hizmetleri geri yüklüyor. Müşteri uç noktaları şu anda korunuyor, ancak yönetilen yanıt hizmetlerinin görünürlüğü olmayacak. Tehdit veri raporlaması gecikti, kaybolmadı.”
XDR satıcısı, müşterilere ilk kök neden analizinin kesintinin “bir güvenlik olayı değil, dahili bir otomasyon sorunu” na kadar izlendiğini söyledi.
Sosyal ağ Mastodon’a gönderilen siber güvenlik uzmanı Kevin Beaumont, “Erişimin olmayan yönetilen yanıt hizmetleri = dış kaynaklı güvenlik algılama ve yanıtınız durdu.” Dedi.
Sentinelone geçen Eylül ayında yaklaşık 13.000 müşteri saydığını söyledi.
Şirketin 11 hizmetinin her biri – web sitesi – firmanın son noktası, XDR, bulut güvenliği, kimlik, veri gölü, tehdit zekası ve güvenlik açığı yönetimi hizmetleri de dahil olmak üzere gayri resmi, ücretsiz Sentinelonestatus.com sitesinde bulunamıyordu. SentinelOne, özel destek portalında sistem kullanılabilirliğini detaylandırırken, şirketin sistem kesintilerini izlemek için resmi, halka açık bir sayfası yoktur.
Kesinti başladıktan yaklaşık altı saat sonra, Perşembe günü 19:41 UTC’de satıcı şunları söyledi: “Konsollara erişim, günümüzün platform kesintisi ve hizmet kesintisini takiben tüm müşteriler için geri yüklendi. Tüm hizmetlerin tamamen faaliyete geçtiğini doğrulamaya devam ediyoruz.”
Bir Sentinelone destek ajanı müşterilere verdiği demeçte, “İlk kök neden analizimiz bunun bir güvenlik olayı olmadığını gösteriyor ve etkinliğin bir incelemesini yayınlayacağız.” Dedi. “Bu hizmet kesintisinin neden olduğu rahatsızlıktan dolayı özür dileriz.”
“S1” küresel kesintisi konusundaki uyarılar, yöneticilerin bulut tabanlı Sentinelone konsoluna erişemediklerini bildirdikleri Perşembe günü ortaya çıktı. “Portal, doğu zamanının ortasına kadar kaldı ve o zamandan beri düştü,” bir yönetici Reddit’e gönderildi, bir Amazon web hizmetine odaklanan söylentilerle-veya belki de DNS sorunlarına veya dağıtılmış bir hizmet reddi saldırılarına dayanıyor.
Perşembe günü AWS “Hizmet Sağlığı” sayfası Perşembe günü bir sorunu listeledi: “AP-South-2 bölgesindeki yüksek API hata oranları ve bağlantı sorunları”, bir saat sonra çözüldüğünü söylediği 17:08 UTC’de başlayan sistemlere atıfta bulundu. Bu zamanlama, Sentinelone kesintisinin ayrıntılarıyla örtüşmüyor gibi görünmüyor.
Yöneticiler, kesintinin uç noktaların herhangi bir ek güvenlik güncellemesi alamayacağı ve ayrıca sistemlerinin yanlış pozitif tetikledikten sonra internetten bağlantısı kesilen herhangi bir kullanıcının portal erişimini geri kazanana kadar yeniden bağlanamayacağını söyledi. Çalışamayan bazı işaretli müşterilerimiz var, “dedi bir yönetici Reddit yazısında.
Firmanın yıldızı kullanılarak oluşturulan özel tespitler – Sentinelone Storyline Active Yanıt için – Kurallar çalışmıyordu. “Yıldız kuralları aracı ve konsol arasındaki internet bağlantısına güvenir. Bu nedenle Star kurallarına dayanan özel algılamalar işe yaramaz.”
Kesinti çözülmeden önce yayınlanan bir yönetici, “S1 bunu birden fazla müşteriyi etkilediği için bir SEV0 olarak muamele ediyor.”
Olay Yanıt Firması Olay.IO.
Beaumont, satıcıyı kesintiye nispeten etkili bir şekilde yanıt verdiğini değerlendirdi. “Genel olarak iyi bir yanıt düşündüm, web sitelerinin ön sayfasına yapıştılar” dedi. Diyerek şöyle devam etti: “Orgs, ombed, ancak umarım dersler öğrenilecek olan etkinlik sırasında görünürlük ve MDR kapsamı yoktu.”