CrowdStrike แจกแจงสาเหตุที่การอัปเดต Microsoft Windows ที่ไม่ดีซึ่งส่งผลกระทบต่อคนนับล้านไม่ได้รับการทดสอบอย่างเหมาะสม

เมื่อวันพุธ CrowdStrike เปิดเผยข้อมูลเชิงลึกจากการตรวจสอบเบื้องต้นหลังเหตุการณ์ โดยให้ความกระจ่างว่าเหตุใดจึงตรวจไม่พบ การอัปเดต Microsoft Windows ล่าสุดที่ทำให้เกิดการหยุดชะงักในวงกว้าง ในระหว่างการทดสอบภายใน เหตุการณ์นี้ซึ่งส่งผลกระทบต่อผู้คนนับล้านทั่วโลก ได้เน้นย้ำถึงข้อบกพร่องที่สำคัญในกระบวนการตรวจสอบการอัปเดต

CrowdStrike ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำ นำเสนอการอัปเดตการกำหนดค่าเนื้อหาความปลอดภัยที่แตกต่างกันสองประเภทให้กับตัวแทน Falcon: เนื้อหาเซ็นเซอร์และเนื้อหาการตอบสนองอย่างรวดเร็ว การอัปเดตเนื้อหาเซ็นเซอร์นำเสนอความสามารถที่ครอบคลุมสำหรับการตอบสนองของฝ่ายตรงข้ามและการตรวจจับภัยคุกคามในระยะยาว การอัปเดตเหล่านี้ไม่ได้ดึงข้อมูลแบบไดนามิกจากคลาวด์และผ่านการทดสอบอย่างกว้างขวาง ช่วยให้ลูกค้าสามารถควบคุมการใช้งานข้ามกลุ่มยานพาหนะของตนได้

ในทางตรงกันข้าม เนื้อหาการตอบสนองที่รวดเร็วประกอบด้วยไฟล์ไบนารีที่เป็นกรรมสิทธิ์ซึ่งมีข้อมูลการกำหนดค่าเพื่อปรับปรุงการมองเห็นและการตรวจจับอุปกรณ์โดยไม่ต้องแก้ไขโค้ด เนื้อหานี้ได้รับการตรวจสอบโดยส่วนประกอบที่ออกแบบมาเพื่อรับรองความสมบูรณ์ก่อนเผยแพร่ อย่างไรก็ตาม การอัปเดตที่เผยแพร่เมื่อวันที่ 19 กรกฎาคม มีวัตถุประสงค์เพื่อจัดการกับเทคนิคการโจมตีใหม่ๆ ที่ใช้ประโยชน์จากไปป์ที่มีชื่อ เผยให้เห็นข้อบกพร่องร้ายแรง

เครื่องมือตรวจสอบที่ใช้ตั้งแต่เดือนมีนาคม มีข้อบกพร่องที่ทำให้การอัปเดตที่ผิดพลาดสามารถผ่านการตรวจสอบได้ เนื่องจากไม่มีการทดสอบเพิ่มเติม การอัปเดตจึงถูกปรับใช้ ส่งผลให้ อุปกรณ์ Windows ประมาณ 8.5 ล้านเครื่องประสบปัญหา Blue Screen of Death (BSOD) ข้อขัดข้องนี้เกิดจากการอ่านหน่วยความจำนอกขอบเขตทำให้เกิดข้อยกเว้นที่ไม่สามารถจัดการได้ แม้ว่าองค์ประกอบล่ามเนื้อหาของ CrowdStrike ได้รับการออกแบบมาเพื่อจัดการข้อยกเว้นดังกล่าว แต่ปัญหานี้ยังไม่ได้รับการแก้ไขอย่างเพียงพอ

เพื่อตอบสนองต่อเหตุการณ์นี้ CrowdStrike มุ่งมั่นที่จะปรับปรุงโปรโตคอลการทดสอบสำหรับเนื้อหาการตอบสนองที่รวดเร็ว การปรับปรุงตามแผนประกอบด้วยการทดสอบของนักพัฒนาในพื้นที่ การอัปเดตที่ครอบคลุมและการทดสอบการย้อนกลับ การทดสอบความเครียด การคลุมเครือ การทดสอบความเสถียร และการทดสอบอินเทอร์เฟซ เครื่องมือตรวจสอบเนื้อหาจะได้รับการตรวจสอบเพิ่มเติม และกระบวนการจัดการข้อผิดพลาดจะได้รับการแก้ไข นอกจากนี้ จะมีการปรับใช้กลยุทธ์การใช้งานแบบเหลื่อมล้ำสำหรับเนื้อหาการตอบสนองอย่างรวดเร็ว เพื่อให้ลูกค้าสามารถควบคุมการอัปเดตเหล่านี้ได้ดียิ่งขึ้น

เมื่อวันจันทร์ CrowdStrike ได้ประกาศแผนการแก้ไขแบบเร่งด่วนสำหรับระบบที่ได้รับผลกระทบจากการอัปเดตที่มีข้อบกพร่อง โดยมีความคืบหน้าอย่างมากในการกู้คืนอุปกรณ์ที่ได้รับผลกระทบ เหตุการณ์ดังกล่าวถือเป็นหนึ่งในความล้มเหลวด้านไอทีที่รุนแรงที่สุดในประวัติศาสตร์ ส่งผลให้เกิดการหยุดชะงักครั้งใหญ่ในภาคส่วนต่างๆ รวมถึงการบิน การเงิน การดูแลสุขภาพ และการศึกษา

ภายหลัง ผู้นำสภาผู้แทนราษฎรเรียกร้องให้ George Kurtz ซีอีโอของ CrowdStrike ให้การเป็นพยานต่อหน้าสภาคองเกรสเกี่ยวกับการมีส่วนร่วมของบริษัทในการหยุดทำงานครั้งใหญ่ ในขณะเดียวกัน องค์กรและผู้ใช้ได้รับการแจ้งเตือนถึงความพยายามในการฟิชชิ่ง การหลอกลวง และมัลแวร์ที่เพิ่มขึ้นเพื่อใช้ประโยชน์จากเหตุการณ์นี้

เหตุการณ์นี้เน้นย้ำถึงความจำเป็นที่สำคัญสำหรับกระบวนการทดสอบและการตรวจสอบที่มีประสิทธิภาพในการรักษาความปลอดภัยทางไซเบอร์ เพื่อป้องกันการหยุดชะงักที่แพร่หลายเช่นนี้ในอนาคต