„CrowdStrike“ sugenda, kodėl blogas „Microsoft Windows“ naujinimas, turintis įtakos milijonams, nebuvo tinkamai išbandytas

Trečiadienį „CrowdStrike“ atskleidė savo preliminarios peržiūros po incidento įžvalgas, paaiškindama, kodėl vidinio bandymo metu nebuvo aptiktas naujausias „Microsoft Windows“ naujinimas, sukėlęs didelius sutrikimus . Šis incidentas, turėjęs įtakos milijonams žmonių visame pasaulyje, išryškino esminius atnaujinimo tikrinimo proceso trūkumus.

„CrowdStrike“, pirmaujanti kibernetinio saugumo įmonė, savo „Falcon“ agentui teikia dviejų skirtingų tipų saugos turinio konfigūracijos naujinimus: jutiklių turinį ir greitojo reagavimo turinį. Jutiklių turinio atnaujinimai siūlo visapusiškas reagavimo į priešą ir ilgalaikės grėsmės aptikimo galimybes. Šie naujinimai nėra dinamiškai paimami iš debesies ir yra nuodugniai išbandomi, todėl klientai gali kontroliuoti diegimą savo automobilių parkuose.

Priešingai, greitojo reagavimo turinį sudaro patentuoti dvejetainiai failai, kuriuose yra konfigūracijos duomenų, siekiant pagerinti įrenginio matomumą ir aptikimą nekeičiant kodo. Šį turinį patvirtina komponentas, skirtas užtikrinti vientisumą prieš platinant. Tačiau liepos 19 d. išleistas atnaujinimas, skirtas naujoms atakų technikoms, naudojant pavadintus vamzdžius, atskleidė esminį trūkumą.

Tikrinimo priemonėje, kuria buvo remiamasi nuo kovo mėn., buvo klaida, dėl kurios sugedęs naujinimas buvo patvirtintas. Kadangi nebuvo atlikta papildomų bandymų, naujinimas buvo įdiegtas, todėl maždaug 8,5 milijono „Windows“ įrenginių patyrė mėlynojo mirties ekrano (BSOD) kilpą . Šią gedimą sukėlė neribotas atminties skaitymas, dėl kurio atsirado netvarkoma išimtis. Nors CrowdStrike turinio vertėjo komponentas skirtas tokioms išimtims valdyti, ši problema nebuvo tinkamai išspręsta.

Reaguodama į šį incidentą, „CrowdStrike“ yra įsipareigojusi patobulinti greito reagavimo turinio testavimo protokolus. Planuojami patobulinimai apima vietinio kūrėjo testavimą, išsamų naujinimo ir atšaukimo testavimą, testavimą nepalankiausiomis sąlygomis, išjungimą, stabilumo testavimą ir sąsajos testavimą. Turinio tikrinimo priemonė bus papildomai tikrinama, o klaidų apdorojimo procesai bus sustiprinti. Be to, bus įgyvendinta laipsniško greitojo reagavimo turinio diegimo strategija, kuri suteiks klientams galimybę geriau valdyti šiuos naujinimus.

Pirmadienį „CrowdStrike“ paskelbė apie pagreitintą sistemų, paveiktų dėl sugedusio atnaujinimo, ištaisymo planą, ir jau padaryta didelė pažanga atkuriant paveiktus įrenginius. Incidentas, laikomas vienu didžiausių IT gedimų istorijoje, sukėlė didelių sutrikimų įvairiuose sektoriuose, įskaitant aviaciją, finansus, sveikatos priežiūrą ir švietimą.

Po to JAV Atstovų Rūmų vadovai ragina „CrowdStrike“ generalinį direktorių George'ą Kurtzą duoti parodymus Kongresui dėl bendrovės įsitraukimo į didelį gedimą. Tuo tarpu organizacijos ir vartotojai buvo įspėjami apie padidėjusį sukčiavimo, sukčiavimo ir kenkėjiškų programų, išnaudojančių šį incidentą, skaičių.

Šis įvykis pabrėžia esminį tvirtų kibernetinio saugumo bandymų ir patvirtinimo procesų poreikį, kad būtų išvengta tokių plačiai paplitusių sutrikimų ateityje.