Użytkownicy chmury Microsoft na całym świecie powinni sprawdzić stan zabezpieczeń swojej infrastruktury po nieudanej aktualizacji systemu CrowdStrike, która pochłonęła miliony użytkowników. Urządzenia z systemem Windows na całym świecie będą offline w piątek 19 lipca 2024 r..
Jak podano we wpisie na blogu autorstwa wiceprezesa ds. bezpieczeństwa przedsiębiorstw i systemów operacyjnych w firmie Microsoft, Davida Westona, 20 lipca 2024„nie był to incydent związany z Microsoftem”, ale taki, który „wpłynął na nasz ekosystem” i zakłócił działalność firmy oraz „codzienne czynności wielu osób”.
Według obliczeń Microsoftu incydent ten dotknął około 8,5 miliona urządzeń z systemem Windows, co stanowi mniej niż 1% całkowitej liczby komputerów z systemem Windows używanych na świecie.
Choć w szerszej perspektywie odsetek ten może wydawać się niewielki, Owen Sayers – niezależny konsultant ds. bezpieczeństwa z ponad 20-letnim doświadczeniem w doradzaniu klientom z sektora publicznego i policji w zakresie zabezpieczania ich systemów – stwierdził, iż liczby te są „przerażające”, gdy zestawi się je z informacjami zaczerpniętymi z bloga CrowdStrike poświęconego zgłaszaniu incydentów.
Jak potwierdza „Szczegóły techniczne: Aktualizacja zawartości Falcon dla hostów Windows” blog, uszkodzona aktualizacja oprogramowania, która spowodowała awarię w piątek 19 lipca, była dostępna online tylko przez 78 minut, zanim została usunięta i zastąpiona poprawioną wersją. „W tym czasie dotknęła mniej niż 1% globalnych urządzeń z systemem Windows – to robi wrażenie”, powiedział Sayers, ale ma również niepokojące implikacje dla stanu naszych globalnych systemów informatycznych.
Wiedza o tym, iż błąd w produkcie zabezpieczającym innej firmy może spowodować tak duże szkody w tak krótkim czasie, może dać hakerom działającym w państwach do myślenia i zastanowić się, jak przeprowadzić kolejną falę ataków.
„Chińczycy i Rosjanie wiedzą teraz, jak zniszczyć globalne systemy IT – wystarczy znaleźć produkt zabezpieczający używany przez twój cel i zmodyfikować ten kod” – powiedział Sayers. „I jest cholernie duża szansa, iż zniszczy ich w ciągu półtorej godziny”.
Zakłócenia w podróży
Incydent CrowdStrike spowodował zakłócenia w podróżowaniu na głównych lotniskach i dworcach kolejowych, a także wpływa na codzienne funkcjonowanie gabinetów lekarskich, sprzedawców detalicznych i innych firm korzystających z technologii Microsoft. A w niektórych przypadkach jego skutki są odczuwalne choćby kilka dni później.
„Ludzie lubią myśleć o tego typu przerwach w dostawie prądu w kontekście całodniowych lub choćby weekendowych [of disruption being caused] ze względu na długotrwały efekt, ale gdy sprowadzimy przyczynę do okresu trwającego krócej niż półtorej godziny, staje się ona bardziej znacząca”, powiedział Sayers.
„Tym razem błąd wystąpił w produkcie innej firmy, z którego korzysta jedynie bardzo mała liczba organizacji, ale spójrz na skalę i rozprzestrzenienie się szkód”.
Mając to na uwadze, co by się stało, gdyby produkt innej firmy, który cieszy się większym zainteresowaniem w społeczności użytkowników Microsoftu, doznał podobnej nieudanej aktualizacji oprogramowania? Albo gdyby Microsoft wprowadził aktualizację systemu operacyjnego lub dodatku Service Pack dla swojej bazy użytkowników, która podobnie groziłaby zepsuciem urządzeń klientów?
Może to zabrzmieć jak pytanie wywołujące panikę, ale Eric Grenier, dyrektor ds. analityki w firmie Gartner for Technical Professionals, zajmującej się obserwacją rynku, powiedział dla Computer Weekly, iż każdego dostawcę rozwiązań IT, który „podłączy się” do jądra systemu Windows w podobny sposób jak CrowdStrike, może spotkać podobny los, jeżeli wypuści wadliwą aktualizację.
„Można pójść o krok dalej i powiedzieć, iż każdy dostawca, który wypuszcza aktualizację, naraża się na wypuszczenie „złej łatki”” – powiedział.
Z tego powodu Grenier powiedział, iż sytuacja ta powinna dać całej branży systemu do myślenia, aby upewnić się, iż nie stanie się kolejnym CrowdStrike. „To dobry moment dla wszystkich w branży oprogramowania, aby przejrzeć swoje procesy zapewniania jakości, a także procesy testowania aktualizacji systemu i wzmocnić je najlepiej, jak potrafią” – dodał.
Ochrona użytkownika
Organizacje będące użytkownikami końcowymi, których systemy Windows nie ucierpiały z powodu aktualizacji z piątku 19 lipca, powinny traktować tę sytuację jako sygnał ostrzegawczy, a nie szczęśliwy traf, powiedział Rich Gibbons, szef ds. rozwoju rynku zarządzania zasobami IT i zaangażowania w niezależnej firmie doradczej ds. licencjonowania systemu Synyega.
„Jeśli Twoja organizacja unikałaby tego problemu, [it is] prawdopodobnie dlatego, iż nie są klientami CrowdStrike, więc potraktuj to jako sygnał ostrzegawczy” – powiedział w wywiadzie dla Computer Weekly.
„Niestety, wszystkie organizacje są narażone na ryzyko negatywnego wpływu na ich działalność, gdy dostawca zewnętrzny popełni ogromny błąd. Akceptacja tego ryzyka i posiadanie silnego planowania odzyskiwania po awarii i ciągłości działania [strategy] jest kluczowa i musi być priorytetem dla każdej firmy.”
Posiadanie solidnych systemów zarządzania zasobami IT (ITAM) i zarządzania zasobami systemu (SAM) jest również koniecznością, kontynuował Gibbons. „Wiedza o tym, jakie oprogramowanie i sprzęt posiadasz, gdzie się znajdują, [as well as its] „Wsparcie i status końca cyklu życia, czas ostatniej poprawki i aktualizacji oraz dane są również najważniejsze w przypadku skutecznego planu odzyskiwania po awarii i zapewnienia ciągłości działania, niezależnie od tego, czy zasoby znajdują się lokalnie, czy w chmurze w środowiskach hybrydowych” — powiedział.
Jak zauważa Grenier z Gartnera, posiadanie strategii odzyskiwania po awarii i ciągłości działania to jedno, ale przedsiębiorstwa muszą także pamiętać o jej regularnym testowaniu.
„To nie ostatni raz, kiedy dostawca wypuści „złą poprawkę”, więc aby ograniczyć ryzyko, organizacje klientów będą musiały dokonać przeglądu [these] strategii i faktycznie je testować, aby mieć pewność, iż spełniają one oczekiwane standardy pod względem „czasu odzyskiwania” — powiedział.
„Organizacje powinny również wykorzystać tę okazję, aby sprawdzić, które aplikacje w ich środowisku korzystają z funkcji automatycznej aktualizacji, i ocenić potencjalne skutki „złej aktualizacji”.
Nie oznacza to jednak, iż Grenier opowiada się za całkowitym wyłączeniem funkcji „automatycznej aktualizacji” we wszystkich przedsiębiorstwach na świecie w celu zminimalizowania ryzyka wystąpienia kolejnego ataku CrowdStrike.
„To powinno być określone przez poziom akceptacji ryzyka organizacji i to, czy może ona sama łatać aplikacje” – powiedział. „Przedsiębiorstwa powinny mieć udokumentowany spis aplikacji ustawionych na „automatyczną aktualizację”, czy można wyłączyć „automatyczną aktualizację” i wiedzieć, jaki może być wpływ, jeżeli dla każdej aplikacji ustawionej na „automatyczną aktualizację” zostanie dostarczona zła aktualizacja lub poprawka.
„Jeśli zdecydują się na ręczną aktualizację aplikacji, będą musieli również opracować procesy i przepływy pracy obejmujące testowanie aktualizacji dla każdej aplikacji” – powiedział Grenier.
