CrowdStrike разбива защо лошата актуализация на Microsoft Windows, засягаща милиони, не е тествана правилно
В сряда CrowdStrike разкри прозрения от техния предварителен преглед след инцидента, хвърляйки светлина върху това защо скорошна актуализация на Microsoft Windows, която причини широко разпространено прекъсване, не е била открита по време на вътрешни тестове. Този инцидент, който засегна милиони по целия свят, подчерта критични пропуски в процеса на валидиране на актуализацията.
CrowdStrike, водеща фирма за киберсигурност, предоставя два различни типа актуализации на конфигурацията на съдържанието за сигурност на своя агент Falcon: съдържание на сензори и съдържание за бърз отговор. Актуализациите на съдържанието на сензора предлагат изчерпателни възможности за реакция на противник и дългосрочно откриване на заплахи. Тези актуализации не се извличат динамично от облака и се подлагат на обширни тестове, което позволява на клиентите да контролират внедряването в своите флоти.
За разлика от това, съдържанието за бърз отговор се състои от собствени двоични файлове, съдържащи конфигурационни данни за подобряване на видимостта и откриването на устройството без модифициране на кода. Това съдържание е валидирано от компонент, предназначен да гарантира целостта преди разпространение. Въпреки това актуализацията, публикувана на 19 юли, насочена към справяне с нови техники за атака, използващи наименувани канали, разкри критичен пропуск.
Валидаторът, на който се разчита от март, съдържа грешка, която позволява на грешната актуализация да премине проверката. Поради липсата на допълнителни тестове, актуализацията беше внедрена, което доведе до около 8,5 милиона устройства с Windows, които изпитват цикъл на син екран на смъртта (BSOD) . Този срив произтича от четене извън границите на паметта, причиняващо необработено изключение. Въпреки че компонентът за интерпретатор на съдържание на CrowdStrike е проектиран да управлява такива изключения, този конкретен проблем не е адресиран по подходящ начин.
В отговор на този инцидент CrowdStrike се ангажира да подобри тестовите протоколи за съдържание с бърз отговор. Планираните подобрения включват тестване на местни разработчици, цялостно тестване за актуализация и връщане назад, стрес тестване, размиване, тестване на стабилност и тестване на интерфейса. Валидаторът на съдържание ще получи допълнителни проверки и процесите за обработка на грешки ще бъдат подсилени. Освен това ще бъде приложена поетапна стратегия за внедряване на съдържание за бърза реакция, предоставяйки на клиентите по-голям контрол върху тези актуализации.
В понеделник CrowdStrike обяви ускорен план за коригиране на системи, засегнати от дефектната актуализация, като вече е постигнат значителен напредък във възстановяването на засегнатите устройства. Инцидентът, считан за един от най-сериозните ИТ повреди в историята, доведе до големи смущения в различни сектори, включително авиация, финанси, здравеопазване и образование.
Впоследствие лидерите на Камарата на представителите на САЩ настояват главният изпълнителен директор на CrowdStrike Джордж Кърц да свидетелства пред Конгреса относно участието на компанията в обширното прекъсване. Междувременно организациите и потребителите бяха предупредени за увеличаване на броя на опитите за фишинг, измами и зловреден софтуер, използващи този инцидент.
Това събитие подчертава критичната необходимост от стабилни процеси на тестване и валидиране в киберсигурността, за да се предотвратят такива широко разпространени прекъсвания в бъдеще.