Hoy (19JUL2024), las aerolíneas globales, proveedores de atención médica, agencias gubernamentales, 911 servicios y miles de otras empresas se despertaron para descubrir que estaban participando en la mayor interrupción global de TI DE la historia. Estas organizaciones vinieron a trabajar esta mañana para descubrir sus computadoras mostrando la infame “Pantalla Azul de la Muerte” (BSOD). BSOD se muestra cuando un sistema Windows se enfrenta a un error crítico.
La interrupción de hoy fue el resultado de un proveedor de seguridad de endpoints, CrowdStrike, que lanzó una actualización de contenido de seguridad causando que las computadoras Windows de todo el mundo cayeran en un estado interminable de reinicios mientras mostraban este BSOD.
Estas actualizaciones de contenido de seguridad son practicadas regularmente por los proveedores de seguridad. Nuevas reglas, firmas y modelos de IA se crean y se publican programáticamente como actualizaciones para garantizar que los agentes, firewalls y otras soluciones se mantengan a la vanguardia cuando se trata de detectar actividades maliciosas. En Edgio, nosotros también debemos pasar por un proceso riguroso similar al impulsar nuevas reglas y protecciones. Este proceso incluye un período en el que nos centramos completamente en la recopilación de información. No se aplican bloques, en su lugar desplegamos la firma en lo que llamamos modo “Solo alerta”. Esto nos permite ver qué se bloquearía si la firma o regla detecta una solicitud potencialmente maliciosa. Basándonos en esta inteligencia, podemos afinar la regla para garantizar una respuesta de precisión cuando la regla finalmente se pone en “Modo de Bloqueo”.
Desafortunadamente, parece que esta actualización puede no haber pasado por el mismo nivel de rigor antes de ser enviada a nivel mundial.
Para ser claros, esto no es solo unas pocas computadoras que se rompen durante unos minutos, esto sigue teniendo algunos impactos importantes. Estamos viendo una interrupción generalizada de los servicios esenciales, incluidos los servicios de emergencia, el transporte, la atención médica y los sistemas financieros.
Esta imagen de tráfico de aviones cayendo a prácticamente ninguna, destaca la gravedad de este incidente.
Yendo más allá, este tema no lo es rápidamente resuelto. Los pasos para la resolución requieren una intervención manual. Un humano debe estar en el teclado para reiniciar el sistema en modo seguro y Vaya al directorio CrowdStrike dentro del directorio System32 para eliminarel C-00000291* archivo .sys. Esto es no un proceso que se puede automatizar. Cientos de miles de máquinas necesitan esta intervención manual. Este problema no se resolverá de forma rápida o barata para muchas empresas.
Afortunadamente para la industria de servicios financieros, la bolsa de valores más grande del mundo, la Bolsa de Valores de Nueva York (NYSE), quedó ilesa. No se vieron afectados por este incidente porque la infraestructura de NYSE se ejecuta en Linux, Red Hat Linux para ser específico. Afortunadamente, Edgio tampoco se ve afectado por este incidente.
Este incidente subraya nuestra dependencia de la infraestructura moderna de piezas individuales de tecnología. A medida que avanza nuestra tecnología, también lo hace nuestra dependencia de dicha tecnología. El hecho de que una sola actualización pueda tener tal impacto en las operaciones globales, lamentablemente, no lo es sorprendente, o imprevisto. Más bien, su incidente sirve como un recordatorio doloroso para estar preparado para eventos similares con pruebas fuertes, retroceso automático, runbooks y práctica para este tipo de eventos.
Entonces, ¿qué más podemos aprender de este evento?
Número uno: Complacencia. Esta palabra parece estar viniendo a la mente cada vez más a medida que he visto los eventos que se desarrollan en la última semana. Tendemos a hacer esto, como humanos. El exceso de confianza y el sesgo de la Recencia nos llevan a ignorar los riesgos y creer que los éxitos pasados garantizan resultados futuros. Estos no son conceptos nuevos en el mundo de la seguridad. Vemos que los presupuestos de seguridad se reducen debido a los éxitos históricos.
En segundo lugar, comprender nuestra dependencia de cierta infraestructura. Las organizaciones deben identificar, evaluar y mitigar puntos únicos de fallo dentro de su infraestructura de TI. Implementar redundancia, diversificar los sistemas críticos y asegurar procedimientos operativos alternativos pueden minimizar el impacto de tales incidentes. Las auditorías periódicas y las evaluaciones de riesgos pueden ayudar a identificar y abordar estas vulnerabilidades.
También seamos claros, esto no significa que todas las herramientas de seguridad de endpoints sean malas, o que debamos dejar de usarlas. No caigamos en el sesgo de Recency y olvidemos cuánto tiempo y dinero se ha ahorrado al prevenir ataques de Ransomware por sí solos. ¿Debería seguir utilizando un EDR para proteger su infraestructura? Sí. ¿Existen métodos adicionales que pueda utilizar para proteger activos críticos? ¡Absolutamente! Sigamos trabajando para ser fuertes juntos. ¡Quédate Frosty!
