Dzień, w którym ekrany stały się niebieskie: incydent z CrowdStrike Falcon

19 lipca 2024 r. cyfrowy świat stanął w miejscu, gdy ogromna awaria dotknęła systemy Microsoft Windows z oprogramowaniem CrowdStrike Falcon Endpoint Detection and Response (EDR). Dokładnie o godzinie 04:09 UTC aktualizacja tego agenta wywołała kaskadę Blue Screen of Death, czyli tzw. niebieskich ekranów śmierci,na 8,5 mln maszyn. W ciągu kilku chwil samoloty zostały uziemione, szpitale doświadczyły zakłóceń w dzialaniu, a media stanęły w obliczu awarii komunikacji. Skutki awarii odczuwalne były nawet na światowej giełdzie. Nie wspominając o tym, że połowa firm z listy Fortune 500, które zabezpieczone były za pomocą wspomnianego rozwiązania, pogrążyła się w chaosie. Od Canberry po Seattle, cały cyfrowy krajobraz został nagle przekształcony. Niektórzy nazwali to „największą awarią IT w historii” i niezaprzeczalnie zdarzenie to wymusiło największy powrót do pióra i papieru od lat.

POTĘGA MAŁEGO PLIKU

Sercem tego zakłócenia była pozornie niewinna 40-kilobajtowa aktualizacja od CrowdStrike. Ten niewielki plik, który zazwyczaj pozostałby niezauważony, zawierał kluczowy błąd logiczny. Falcon (EDR) próbował uzyskać dostęp do adresu pamięci, który stał się nieprawidłowy, co spowodowało natychmiastową awarię. Ponieważ oprogramowanie działa na poziomie jądra, jego nieprawidłowe działanie powalało na kolana całe systemy operacyjne. Aby skomplikować sprawę, Falcon został skonfigurowany do automatycznego restartu, co prowadziło do nieustannego zapętlenia go i sprawiało, że naprawa była jeszcze trudniejsza.

Jak na ironię, podczas gdy systemy nie działały, były przynajmniej bezpiecznie uszkodzone!

USTERKA TECHNICZNA Z KONSEKWENCJAMI PODOBNYMI DO CYBERATAKU

Chociaż ta awaria wynikała raczej z błędu technicznego niż złośliwego ataku, jej następstwa były uderzająco podobne do głośnych ataków na łańcuch dostaw, takich jak SolarWinds, MoveIT czy 3CX.

Globalny paraliż uwypuklił podatność krytycznej infrastruktury na błędy ludzkie i techniczne. Wyłączenie było tak nagłe i kompleksowe, że wielu początkowo podejrzewało cyberatak na dużą skalę, biorąc pod uwagę, jak bardzo efekty odzwierciedlały skoordynowane złośliwe działania. Wydarzenie to podkreśliło również szerszy wpływ na łańcuchy produkcyjne i operacje biznesowe. Było też potężnym przypomnieniem, że wybory, których dokonujemy dzisiaj w odniesieniu do rozwiązań bezpieczeństwa cyfrowego, mają daleko idące konsekwencje wykraczające poza nasze własne sieci.

CZYM WŁAŚCIWIE JEST EDR?

CrowdStrike Falcon jest przykładem rozwiązania znanego jako Endpoint Detection and Response (EDR). Te narzędzia bezpieczeństwa stale monitorują punkty końcowe wyposażone w agentów w celu wykrycia podejrzanej aktywności. Tacy agenci zainstalowani są na każdym kompatybilnym punkcie końcowym, gromadzą obszerne dane, od uruchomionych procesów i aplikacji po ładowanie sterowników, wykorzystanie pamięci i dysku, aktywność rejestru, a nawet połączenia sieciowe. Następnie systemy automatycznie reagują, aby zablokować zagrożenia i zabezpieczyć krytyczne dane na punkcie końcowym.

Falcon, podobnie jak inne rozwiązania EDR, działa z uprawnieniami wysokiego poziomu, umożliwiając głęboką integrację z systemem operacyjnym. Jednak w tym przypadku ta sama głęboka integracja, która zwykle jest zaletą, zamieniła się w odpowiedzialność, ponieważ awaria sparaliżowała miliony systemów. Konsekwencje aktualizacji zostały spotęgowane, czyniąc naprawę pracochłonnym procesem. Chociaż CrowdStrike i Microsoft szybko wydały wytyczne dotyczące środków zaradczych i skrypt do automatyzacji naprawy, proces ten był szczególnie czasochłonny dla dotkniętych awarią firm, ponieważ wymagał ręcznej interwencji na każdej dotkniętej maszynie.

TECHNOLOGIA NDR: UZUPEŁNIAJĄCA, BEZAGENTOWA ALTERNATYWA

Technologia Network Detection and Response (NDR) oferuje inne podejście -onitorowanie ogólnego ruchu sieciowego w celu wykrywania zagrożeń i zapewnienia zespołom SOC szerokiej widoczności. Podobnie jak EDR, również NDR identyfikuje podejrzane zachowania na wczesnym etapie procesu Kill Chain, zarówno w środowiskach fizycznych, jak i wirtualnych.

PŁYNNA INTEGRACJA, MAKSYMALNA WYDAJNOŚĆ

Poza typowymi zaletami NDR - takimi jak natychmiastowa i kompleksowa widoczność wszystkich zasobów sieciowych - Gatewatcher zapewnia pasywną bezagentową alternatywę bezpieczeństwa, która może znacznie wzmocnić odporność systemu. NDR płynnie i elastycznie integruje się z istniejącym ekosystemem bezpieczeństwa organizacji, w tym ze standardowymi rozwiązaniami, takimi jak EDR, XDR, SIEM i SOAR. Ta płynna integracja maksymalizuje wydajność zespołów SOC bez zakłócania codziennych operacji. Jako rozwiązanie pasywne NDR nie wymaga agentów na punktach końcowych i nie wpływa na wydajność. W razie potrzeby przechwytywanie danych odbywa się za pośrednictwem TAP (Test Access Points) na pełnej kopii sieci, zapewniając nieprzerwane działanie.

SZERSZY OBRAZ: WYCIĄGNIĘTE WNIOSKI

Awaria CrowdStrike Falcon ujawniła kruchość krytycznej infrastruktury. Pokazał, jak prosty błąd może nagle zatrzymać działalność organizacji, prowadząc do poważnych, a nawet zagrażających życiu konsekwencji - zwłaszcza w placówkach opieki zdrowotnej. Incydent ten podkreśla nie tylko naszą rosnącą zależność od technologii, ale także złożoną wzajemną łączność, która wiąże ze sobą różne systemy i usługi. Awaria jednego kluczowego komponentu może wywołać reakcję łańcuchową, paraliżując całą infrastrukturę usług.

Co więcej, incydent ten podkreśla znaczenie wielowarstwowego podejścia do bezpieczeństwa. Rozwiązania muszą nie tylko chronić organizację, ale także być dostosowane do jej konkretnego sektora, potrzeb i strategii. Powinny być zaprojektowane tak, aby zapewnić ciągłość działania, zarówno w przypadku awarii, jak i cyberataku. EDR, ze swoimi agentami, oferuje ukierunkowaną interwencję na każdym punkcie końcowym. Tymczasem NDR zapewnia szerszy widok, wykrywając i analizując zagrożenia w całej sieci. Razem tworzą one potężną obronę: EDR działa jak strażnik bezpieczeństwa w każdym krytycznym punkcie, podczas gdy NDR służy jako system nadzoru, gwarantując, że żadne zagrożenie nie pozostanie niezauważone. To idealne połączenie do ochrony infrastruktury IT.

Dowiedz się więcej na temat EDR i NDR: W jaki sposób EDR i NDR wzajemnie się uzupełniają?