Провалът на CrowdStrike и следващият глобален ИТ срив, който вече се подготвя
От поетапно въвеждане на актуализации до резервираност на ИТ системите – бизнесът трябва да промени отношението си към киберсигурността
Когато в петък екраните на компютрите в цял свят посиняха, полетите бяха преустановени, настаняването в хотели стана невъзможно, доставките на товари бяха спрени, а предприятията се върнаха към хартията и химикалките, първоначалните подозрения бяха за някаква терористична кибератака. Реалността обаче се оказа много по-обикновена: сбъркана актуализация на софтуера на компанията за киберсигурност CrowdStrike.
„В този случай става дума за актуализация на съдържанието“, казва пред CNBC Ник Хаят, директор на отдела за разузнаване на заплахите в компанията за сигурност Blackpoint Cyber, но, тъй като CrowdStrike има изключително широка база от клиенти, тази актуализация на съдържанието беше усетена по целия свят.
„Една грешка доведе до катастрофални резултати. Това е чудесен пример за това колко тясно обвързано с ИТ е съвременното ни общество - от кафенетата до болниците и летищата, подобна грешка има огромни последици“, добавя Хаят.
В този случай актуализацията на съдържанието е била свързана със софтуера за наблюдение CrowdStrike Falcon. Според Хаят той има дълбоки връзки за наблюдение на зловреден софтуер и друго злонамерено поведение на крайни точки, в случая лаптопи, настолни компютри и сървъри. Falcon се актуализира автоматично, за да отчита новите заплахи.
„Чрез функцията за автоматично обновяване се разпространява грешен код и ето ни тук“, казва Хаят. „Възможността за автоматично обновяване е стандартна в много софтуерни приложения и не е уникална за CrowdStrike. Просто заради това, което прави компанията, последствията тук са катастрофални“.
Въпреки че доставчикът на киберсигурност бързо идентифицира проблема и много системи бяха възстановени и заработиха в рамките на часове, глобалната каскада от щети не е лесно да се обърне за организации със сложни системи.
„Смятаме, че ще минат от три до пет дни, преди нещата да бъдат напълно оправени“, казва Ерик О'Нийл, бивш оперативен работник на ФБР в областта на контратероризма и контраразузнаването и експерт по киберсигурност. „Това е много време за престой за организациите“.
Според О'Нийл това, че прекъсването се е случило в летен петък, когато много офиси са били празни, а ИТ специалисти, които биха могли да помогнат за разрешаването на проблема, са били в недостиг, допълнително е усложнило ситуацията.
Актуализациите на софтуера трябва да се въвеждат поетапно
О'Нийл казва, че една поука от глобалния ИТ срив е, че актуализацията на CrowdStrike е трябвало да се разпространява постепенно.
„Това, което CrowdStrike правеше, беше да разпространява актуализациите си до всички наведнъж. Това не е най-добрата идея. Изпратете го на една група и го тествайте. Има нива на контрол на качеството, през които те трябва да преминат“, посочва О'Нийл.
„Актуализацията трябваше да бъде тествана в „пясъчници“, в много среди, преди да излезе официално“, добавя и Питър Ейвъри, вицепрезидент по сигурността и съответствието във Visual Edge IT.
Той е категоричен, че са необходими повече предпазни мерки, за да се предотвратят бъдещи инциденти, при които се повтаря този тип провал.
„Необходими са правилните проверки и баланси в компаниите. По този начин можеше един човек да избере грешен файл, който да изпълни“, казва Ейвъри.
ИТ индустрията нарича това срив от една точка - грешка в една част от системата, която създава техническа катастрофа в различни отрасли, функции и взаимосвързани комуникационни мрежи и води до огромен ефект на доминото.
Призив за изграждане „резервиране“
Събитието от петък би могло да накара компаниите и физическите лица да повишат нивото си на киберготовност.
„По-голямата картина е колко крехък е светът - това не е само кибер или технически проблем. Има множество различни явления, които да доведат до прекъсване, като слънчеви изригвания, които могат да извадят от строя нашите комуникации и електроника“, предупреждава Ейвъри.
„В крайна сметка сривът от петък не е обвинение срещу Crowdstrike или Microsoft, а срещу начина, по който бизнесът гледа на киберсигурността“, казва Джавад Абед, доцент по информационни системи в Johns Hopkins Carey Business School. „Собствениците на компании трябва да престанат да гледат на услугите за киберсигурност само като на разход и да започнат да ги възприемат като съществена инвестиция в бъдещето на организацията си“.
Предприятията трябва да направят това, като вградят резервираност в своите системи.
„Една-единствена точка на отказ не би трябвало да спира бизнеса, а точно това се случи“, казва Абед. „Не можете да разчитате само на един инструмент за киберсигурност“.
Въпреки че изграждането на резервираност в системите на предприятията е скъпо, случилото се в петък е по-скъпо.
„Надявам се, че това е сигнал за събуждане и че ще доведе до някои промени в мисленето на собствениците на предприятия и организации, за да преразгледат стратегиите си за киберсигурност“, акцентира той Абед.
Какво да правим с кода на ниво ядро
„На макроравнище е справедливо да се припишат някои системни проблеми в света на корпоративните ИТ, които често разглеждат киберсигурността, сигурността на данните и веригата за доставка на технологии като желани, вместо като основни неща, както и общата липса на лидерство в областта на киберсигурността в организациите“, обяснява, на свой ред, Никълъс Рийс, бивш служител на Министерството на вътрешната сигурност на САЩ и инструктор в Центъра за глобални въпроси SPS към New York University.
На микроравнище Рийз смята, че кодът, който е причинил това смущение, е бил на ниво ядро и е повлиял на всеки аспект на компютърния хардуер и софтуерната комуникация.
„Кодът на ниво ядро трябва да бъде подложен на най-високо ниво на контрол“, казва Рийз, като одобрението и внедряването трябва да бъдат напълно отделни процеси с отчетност.
Това е проблем, който ще продължи да съществува за цялата екосистема, залята от продукти на трети страни, всички с уязвимости.
„Как да разгледаме цялата екосистема от доставчици от трети страни и да видим къде ще бъде следващата уязвимост? Това е почти невъзможно, но трябва да опитаме“, посочва още Рийз. „Следващ срив не е възможен, а сигурен, докато не се справим с броя на потенциалните уязвимости. Трябва да се съсредоточим върху архивирането и резервирането и да инвестираме в тях, но бизнесът казва, че не може да си позволи да плаща за неща, които може никога да не се случат. Това е труден за оборване аргумент, но реалността го оборва“.