Aujourd’hui (19JUL2024), des compagnies aériennes internationales, des prestataires de soins de santé, des agences gouvernementales, 911 services et des milliers d’autres entreprises se sont réveillés pour découvrir qu’ils participaient à la plus grande panne INFORMATIQUE mondiale de l’histoire. Ces organisations sont venues travailler ce matin pour découvrir leurs ordinateurs affichant le tristement célèbre « écran bleu de la mort » (BSOD). BSOD s’affiche lorsqu’un système Windows est confronté à une erreur critique.
La panne d’aujourd’hui était le résultat d’un fournisseur de sécurité de point de terminaison, CrowdStrike, poussant une mise à jour de contenu de sécurité qui a fait tomber les ordinateurs Windows du monde entier dans un état sans fin de redémarrages tout en montrant ce BSOD.
Ces mises à jour du contenu de sécurité sont mises en pratique régulièrement par les fournisseurs de sécurité. De nouvelles règles, signatures et modèles d’IA sont créés et diffusés par programmation sous forme de mises à jour pour s’assurer que les agents, pare-feu et autres solutions restent à la pointe de la technologie en matière de détection des activités malveillantes. Chez Edgio, nous devons également suivre un processus rigoureux similaire lorsque nous poussons de nouvelles règles et protections. Ce processus comprend une période où nous nous concentrons entièrement sur la collecte d’informations. Aucun bloc n’est appliqué, au lieu de cela nous déployons la signature dans ce que nous appelons le mode « alerte seulement ». Cela nous permet de voir ce qui serait bloqué si la signature ou la règle interceptait une requête potentiellement malveillante. Sur la base de cette intelligence, nous pouvons affiner la règle pour assurer une réponse précise lorsque la règle est finalement mise en « mode bloc ».
Malheureusement, il semble que cette mise à jour n’ait pas passé par le même niveau de rigueur avant d’être expédiée dans le monde entier.
Pour être clair, il ne s’agit pas seulement de quelques ordinateurs cassés pendant quelques minutes, cela continue d’avoir des impacts majeurs. Nous assistons à une perturbation généralisée des services essentiels, y compris les services d’urgence, les transports, les soins de santé et les systèmes financiers.
Cette image du trafic aérien de ligne chutant à pratiquement aucun souligne la gravité de cet incident.
Pour aller plus loin, cette question ne l’est pas rapidement résolu. Les étapes de résolution nécessitent une intervention manuelle. Une personne doit se trouver au clavier pour redémarrer le système en mode sans échec et Accédez au répertoire CrowdStrike dans le répertoire System32 pour supprimerle C-00000291* fichier .sys. C’est le cas non un processus qui peut être automatisé. Des centaines de milliers de machines ont besoin de cette intervention manuelle. Ce problème ne sera pas résolu rapidement ou à moindre coût pour de nombreuses entreprises.
Heureusement pour le secteur des services financiers, la plus grande bourse du monde, la Bourse de New York (NYSE), a été laissée indemne. Ils n’ont pas été affectés par cet incident parce que l’infrastructure NYSE est exécutée sur Linux, Red Hat Linux pour être précis. Heureusement, Edgio n’est pas non plus impacté par cet incident.
Cet incident souligne notre dépendance de l’infrastructure moderne à l’égard de pièces de technologie individuelles. Au fur et à mesure que notre technologie progresse, notre dépendance à cette technologie progresse également. Le fait qu’une seule mise à jour puisse avoir un tel impact sur les opérations globales ne l’est malheureusement pas surprenant, ou imprévu. Cet incident sert plutôt de rappel douloureux pour être préparé à des événements similaires avec des tests forts, une restauration automatisée, des runbooks et de la pratique pour ce type d’événements.
Alors, que pouvons-nous apprendre d’autre de cet événement?
Numéro un : la complaisance. Ce mot semble me venir à l’esprit de plus en plus au fur et à mesure que j’ai regardé les événements se dérouler au cours de la dernière semaine. Nous avons tendance à le faire, en tant qu’humains. L’excès de confiance et le biais de récence nous amènent à ignorer les risques et à croire que les succès passés garantissent des résultats futurs. Ce ne sont pas des concepts nouveaux dans le monde de la sécurité. Nous voyons les budgets de sécurité réduits en raison des succès historiques.
Deuxièmement, comprendre notre dépendance à l’égard de certaines infrastructures. Les entreprises doivent identifier, évaluer et atténuer les points uniques de défaillance au sein de leur infrastructure INFORMATIQUE. La mise en œuvre de la redondance, la diversification des systèmes critiques et la mise en place de procédures opérationnelles alternatives peuvent réduire au minimum l’impact de tels incidents. Des audits réguliers et des évaluations des risques peuvent aider à identifier et à corriger ces vulnérabilités.
Soyons également clairs, cela ne signifie pas que tous les outils de sécurité des terminaux sont mauvais, ou que nous devrions cesser de les utiliser. Ne tombons pas dans le biais de la récence et oublions combien de temps et d’argent ont été économisés en empêchant les attaques de Ransomware seule. Devriez-vous continuer à utiliser un EDR pour protéger votre infrastructure ? Oui. Existe-t-il d’autres méthodes que vous pouvez utiliser pour protéger les biens essentiels? Absolument ! Continuons à travailler pour devenir forts ensemble. Reste gelé !
