CrowdStrike خراب میکند چرا بهروزرسانی بد مایکروسافت ویندوز که میلیونها نفر را تحت تأثیر قرار میدهد به درستی آزمایش نشد
روز چهارشنبه، CrowdStrike اطلاعاتی را از بررسی اولیه پس از حادثه فاش کرد و روشن ساخت که چرا بهروزرسانی اخیر ویندوز مایکروسافت که باعث اختلال گسترده در طول آزمایش داخلی شده بود، شناسایی نشد. این حادثه که میلیونها نفر را در سراسر جهان تحت تأثیر قرار داده است، نقصهای مهمی را در فرآیند اعتبارسنجی بهروزرسانی برجسته کرده است.
CrowdStrike، یک شرکت پیشرو در امنیت سایبری، دو نوع متمایز بهروزرسانی پیکربندی محتوای امنیتی را برای عامل Falcon خود ارائه میکند: محتوای حسگر و محتوای واکنش سریع. بهروزرسانیهای محتوای حسگر قابلیتهای جامعی را برای پاسخ به دشمن و شناسایی بلندمدت تهدید ارائه میدهند. این بهروزرسانیها بهصورت پویا از فضای ابری دریافت نمیشوند و تحت آزمایشهای گسترده قرار میگیرند و به مشتریان اجازه میدهند تا استقرار در ناوگان خود را کنترل کنند.
در مقابل، محتوای پاسخ سریع شامل فایلهای باینری اختصاصی حاوی دادههای پیکربندی برای افزایش دید و تشخیص دستگاه بدون تغییر کد است. این محتوا توسط مؤلفه ای که برای اطمینان از یکپارچگی قبل از توزیع طراحی شده است تأیید می شود. با این حال، بهروزرسانی منتشر شده در 19 ژوئیه، با هدف رسیدگی به تکنیکهای حمله جدید که از لولههای نامگذاری شده استفاده میکنند، یک نقص مهم را نشان داد.
اعتبار سنجی که از ماه مارس به آن اعتماد داشت، حاوی یک اشکال بود که به آپدیت معیوب اجازه می داد اعتبار سنجی را بگذراند. به دلیل عدم وجود آزمایش اضافی، به روز رسانی به کار گرفته شد و در نتیجه تقریباً 8.5 میلیون دستگاه ویندوزی یک حلقه صفحه آبی مرگ (BSOD) را تجربه کردند . این خرابی ناشی از خواندن حافظه خارج از محدوده است که باعث ایجاد یک استثنای کنترل نشده شده است. اگرچه مؤلفه مفسر محتوای CrowdStrike برای مدیریت چنین استثناهایی طراحی شده است، این مسئله خاص به اندازه کافی مورد توجه قرار نگرفت.
در پاسخ به این حادثه، CrowdStrike متعهد به بهبود پروتکلهای آزمایشی برای محتوای واکنش سریع است. بهبودهای برنامه ریزی شده شامل تست توسعه دهنده محلی، به روز رسانی جامع و تست بازگشت مجدد، تست استرس، فازی شدن، تست پایداری و تست رابط است. اعتبارسنجی محتوا بررسیهای بیشتری دریافت میکند و فرآیندهای رسیدگی به خطا تقویت میشوند. علاوه بر این، یک استراتژی استقرار پلکانی برای محتوای واکنش سریع اجرا خواهد شد و به مشتریان کنترل بیشتری بر این بهروزرسانیها میدهد.
روز دوشنبه، CrowdStrike یک طرح اصلاحی سریع برای سیستمهایی که تحت تأثیر بهروزرسانی معیوب قرار گرفتهاند، با پیشرفت قابل توجهی در بازیابی دستگاههای آسیبدیده اعلام کرد. این حادثه که یکی از شدیدترین شکستهای فناوری اطلاعات در تاریخ به حساب میآید، منجر به اختلالات عمده در بخشهای مختلف از جمله هوانوردی، مالی، بهداشت و درمان و آموزش شد.
پس از آن، رهبران مجلس نمایندگان آمریکا از جورج کرتز، مدیر عامل CrowdStrike میخواهند تا در مقابل کنگره در مورد دخالت این شرکت در قطعی گسترده شهادت دهد. در همین حال، سازمانها و کاربران نسبت به افزایش تلاشهای فیشینگ، کلاهبرداری و بدافزار برای سوء استفاده از این حادثه هشدار دادهاند.
این رویداد بر نیاز حیاتی به فرآیندهای تست و اعتبارسنجی قوی در امنیت سایبری برای جلوگیری از چنین اختلالات گسترده ای در آینده تاکید می کند.