Heute (19JUL2024) erwachten weltweit agierende Fluggesellschaften, Gesundheitsdienstleister, Regierungsbehörden, 911 Services und Tausende anderer Unternehmen, um zu erfahren, dass sie am größten globalen IT-Ausfall der Geschichte beteiligt waren. Diese Organisationen kamen heute Morgen zur Arbeit, um ihre Computer mit dem berüchtigten „Blue Screen of Death“ (BSOD) zu entdecken. BSOD wird angezeigt, wenn ein Windows-System mit einem kritischen Fehler konfrontiert ist.
Der heutige Ausfall war das Ergebnis eines Anbieters für Endpoint-Sicherheit, CrowdStrike, der ein Update für Sicherheitsinhalte vorlegte, wodurch Windows-Computer auf der ganzen Welt in einen endlosen Neustartzustand verfielen, während diese BSOD angezeigt wurde.
Diese Sicherheitsupdates werden regelmäßig von Sicherheitsprovidern durchgeführt. Neue Regeln, Signaturen und KI-Modelle werden erstellt und programmgesteuert als Updates bereitgestellt, um sicherzustellen, dass Agenten, Firewalls und andere Lösungen bei der Erkennung bösartiger Aktivitäten stets auf dem neuesten Stand sind. Auch wir in Edgio müssen einen ähnlich strengen Prozess durchlaufen, wenn wir neue Regeln und Schutzmaßnahmen durchsetzen. Dieser Prozess umfasst einen Zeitraum, in dem wir uns ausschließlich auf die Erfassung von Informationen konzentrieren. Es werden keine Blöcke angewendet, stattdessen setzen wir die Signatur im sogenannten „nur Alert“-Modus ein. Auf diese Weise können wir sehen, was blockiert werden würde, wenn die Signatur oder Regel eine potenziell schädliche Anfrage erfasst. Auf der Grundlage dieser Erkenntnisse können wir die Regel fein abstimmen, um eine präzise Reaktion zu gewährleisten, wenn die Regel schließlich in den „Blockmodus“ versetzt wird.
Leider scheint es, dass dieses Update vor dem weltweiten Versand nicht die gleiche Strenge durchlaufen hat.
Um es deutlich zu machen: Es geht nicht nur darum, dass einige wenige Computer für ein paar Minuten kaputt sind, dies hat nach wie vor einige große Auswirkungen. Wir erleben eine weitverbreitete Unterbrechung wichtiger Dienste, einschließlich Notfalldienste, Transport, Gesundheitswesen und Finanzsysteme.
Dieses Bild des Flugzeugverkehrs, der fast auf keinen Fall fällt, unterstreicht die Schwere dieses Vorfalls.
Wenn wir noch weiter gehen, ist das nicht der Fall Schnell behoben. Die Schritte zur Lösung erfordern einen manuellen Eingriff. Ein Mensch muss sich an der Tastatur befinden, um das System in den abgesicherten Modus und neu zu starten Navigieren Sie zum CrowdStrike-Verzeichnis im System32-Verzeichnis, um C-00000291* zu löschen .Sys-Datei. Das ist Nicht Ein Prozess, der automatisiert werden kann. Hunderttausende von Maschinen benötigen diesen manuellen Eingriff. Dieses Problem wird für viele Unternehmen nicht schnell oder kostengünstig gelöst.
Glücklicherweise blieb die größte Börse der Welt, die New York Stock Exchange (NYSE), für die Finanzdienstleistungsbranche unversehrt. Sie waren von diesem Vorfall nicht betroffen, da die NYSE-Infrastruktur unter Linux ausgeführt wird, Red hat Linux, um genau zu sein. Glücklicherweise ist Edgio auch nicht von diesem Vorfall betroffen.
Dieser Vorfall unterstreicht unsere Abhängigkeit der modernen Infrastruktur von einzelnen Technologien. Mit dem Fortschritt unserer Technologie vertrauen wir auch auf diese Technologie. Die Tatsache, dass ein einzelnes Update solche Auswirkungen auf den globalen Betrieb haben kann, ist leider nicht der Fall Überraschend oder unvorhergesehen. Vielmehr dient er als schmerzhafte Erinnerung, auf ähnliche Ereignisse vorbereitet zu sein, mit starken Tests, automatischem Rollback, Runbooks und Übungen für diese Art von Ereignissen.
Also, was können wir noch aus diesem Ereignis lernen?
Nummer eins: Selbstgefälligkeit. Dieses Wort scheint mir immer mehr in den Sinn zu kommen, da ich die Ereignisse der letzten Woche beobachtet habe. Wir neigen dazu, das zu tun, als Menschen. Übermäßiges Selbstvertrauen und Vorurteile führen dazu, dass wir Risiken ignorieren und glauben, dass Erfolge in der Vergangenheit zukünftige Ergebnisse garantieren. Das sind keine neuen Konzepte in der Welt der Sicherheit. Wir sehen, dass die Sicherheitsbudgets aufgrund historischer Erfolge reduziert werden.
Zweitens, unsere Abhängigkeit von bestimmten Infrastrukturen zu verstehen. Unternehmen müssen Single Points of Failure innerhalb ihrer IT-Infrastruktur identifizieren, bewerten und mindern. Durch die Implementierung von Redundanz, die Diversifizierung kritischer Systeme und die Sicherstellung alternativer betrieblicher Verfahren können die Auswirkungen solcher Vorfälle minimiert werden. Regelmäßige Audits und Risikobewertungen können helfen, diese Schwachstellen zu identifizieren und zu beheben.
Lassen Sie uns auch klarstellen, dass dies nicht bedeutet, dass alle Endpoint Security Tools schlecht sind oder dass wir sie nicht mehr verwenden sollten. Lassen Sie uns nicht in die Recency Bias fallen und vergessen, wie viel Zeit und Geld allein durch die Verhinderung von Ransomware-Angriffen gespart wurde. Sollten Sie weiterhin einen EDR zum Schutz Ihrer Infrastruktur verwenden? Ja. Gibt es zusätzliche Methoden, die Sie zum Schutz kritischer Ressourcen einsetzen können? Auf Jeden Fall! Arbeiten wir weiter daran, gemeinsam stark zu werden. Bleib Frostig!