CrowdStrike Holdings Inc, geçen haftaki küresel BT kesintisini test yazılımındaki bir hataya bağladı. CrowdStrike kesintisi, 19 Temmuz 2024’te çoğunlukla havaalanları, hastaneler ve büyük teknoloji firmaları tarafından kullanılan 8,5 milyon Windows sistemini etkiledi.
Siber güvenlik şirketinin son açıklaması, güncellenmiş iyileştirme kılavuzunda yer alan Ön Olay Sonrası İnceleme’den (PIR) geldi ve kesintiye yol açan olaylar dizisini açıkladı.
Çarşamba günkü PIR güncellemesinde sorunun özünün CrowdStrike’ın Falcon Sensörü ile birlikte gönderilen ve yeteneklerini tanımlayan ve yeni tehditleri ele almak için “Hızlı Tepki İçeriği” aracılığıyla güncellenen “Sensör İçeriği”nde olduğu belirtildi. Bu yazılım, tehditleri algılamak veya önlemek için sensör yazılımının belirli davranışlarını eşlemek için “Şablon Türleri” ve “Şablon Örnekleri”ne güvenir.
CrowdStrike Kesintisi Ayrıntılı Soruşturması
Şubat 2024’te CrowdStrike, satıcının “Adlandırılmış Boruları kötüye kullanan yeni saldırı tekniklerini” tespit etmek için tasarladığı yeni bir “InterProcessCommunication (IPC) Şablon Türü”nü tanıttığını duyurdu.
5 Mart 2024’te gerçekleştirilen başarılı testlerin ardından, Nisan ve Temmuz ayları arasında birden fazla IPC Şablon Örneği yayımlandı.
“Daha sonra, 8 Nisan 2024 ile 24 Nisan 2024 arasında üç ek IPC Şablon Örneği dağıtıldı. Bu Şablon Örnekleri üretimde beklendiği gibi performans gösterdi” dedi PIR.
Ancak 19 Temmuz tarihli sürüm, İçerik Doğrulayıcı’daki bir hata nedeniyle “sorunlu içerik verileri” içeriyordu ve bu da sistem çökmelerine neden olan sınır dışı bellek okumasına yol açıyordu.
CrowdStrike’ın PIR’ı, önceki başarılı testlere dayanan 19 Temmuz sürümünün kararlılığı varsayımının hatalı olduğunu ortaya koydu. Beklenmeyen istisna, havayollarından bankalara ve borsalara kadar küresel çapta kritik operasyonları etkileyen yaygın Windows işletim sistemi çökmelerine neden oldu.
Olay raporunda, gelecekteki Hızlı Müdahale İçeriğinin daha titiz bir şekilde test edilmesi, sürümlerin kademeli olarak yayınlanması, kullanıcılara içeriğin ne zaman dağıtılacağı konusunda daha fazla kontrol sağlanması ve sürüm notları sağlanması vaatleri yer alıyor.
Bu fiyasko, CrowdStrike’ın Baş Güvenlik Sorumlusu Shawn Henry’nin bir özür dilemesine yol açtı. Henry, LinkedIn’de paylaştığı bir gönderide başarısızlığı kabul ederek, “Yıllar içinde damla damla güvenimizi saatler içinde kova kova yitirdik ve bu bir mideye yumruk gibi indi.” dedi.
CrowdStrike’ın Sıradaki Adımı Ne?
ABD merkezli siber güvenlik şirketi, acil servisler ve bankacılık da dahil olmak üzere çeşitli sektörlerde operasyonları çökerten olayın tam kapsamını anlamak için kapsamlı bir inceleme yürütüyor, özellikle Hong Kong ve Birleşik Krallık’ta. Microsoft ve CrowdStrike o zamandan beri birçok sistemi geri yükleyen düzeltmeler yayınladı.
CrowdStrike, kötü amaçlı faaliyetleri gözlemlemek, tespit etmek veya önlemek için düzenli olarak güvenlik içeriği yapılandırma güncellemeleri yapar. Ancak sorunlu güncelleme, çökmelere yol açan tespit edilemeyen bir hata taşıyordu. Şirket, gelecekteki Hızlı Yanıt İçeriği için test protokollerini geliştirme sözü verdi. Bu, hatalı İçerik Doğrulayıcısını düzeltmek için yeni bir kontrol uygulamak ve güncellemelerin yaygın olarak kullanıma sunulmadan önce parça parça test edilmesini sağlamak için kanarya dağıtımları olarak bilinen kademeli dağıtımları benimsemeyi içerir.
Ayrıca CrowdStrike, müşterilere içerik dağıtımı üzerinde daha fazla kontrol sağlayarak güncellemelerin ne zaman ve nerede dağıtılacağını seçmelerine olanak sağlamayı planlıyor. Bu hamle, benzer olayları önlemeyi ve müşteri güvenini yeniden inşa etmeyi amaçlıyor.
Kesintinin sonuçları önemliydi, CrowdStrike’ın hisseleri neredeyse %30 düştü ve piyasa değerinden milyarlar silindi. ABD Temsilciler Meclisi İç Güvenlik Komitesi, şirketin gelecekteki riskleri azaltmak için alacağı önlemleri açıklamak üzere CEO George Kurtz’dan bir görünüm talep etti.
Henry, CrowdStrike’ın bu olaydan ders çıkarma ve böyle bir başarısızlığın tekrarlanmamasını sağlamak için süreçlerini iyileştirme konusundaki kararlılığını yineledi. Şirket, kök nedenleri ele alarak ve sağlam güvenlik önlemleri uygulayarak itibarını ve müşteri güvenini geri kazanmaya kararlıdır.
CrowdStrike olayı, siber güvenlik yazılımlarında titiz test ve doğrulamanın kritik önemini vurgular. Tek bir hatalı güncellemenin neden olduğu küresel kesinti, bu tür güvenlik açıklarının potansiyel yaygın etkisini vurgular. CrowdStrike’ın test ve dağıtım süreçlerini iyileştirme çabaları, bundan sonra benzer olayları önlemede ve siber güvenlik çözümlerinin bütünlüğünü korumada kritik önem taşıyacaktır.