Home Blogs L’aggiornamento CrowdStrike causa un’interruzione globale DELL’IT con BSOD
Applications

L’aggiornamento CrowdStrike causa un’interruzione globale DELL’IT con BSOD

About The Author

Outline

Oggi (19JUL2024), compagnie aeree globali, fornitori di servizi sanitari, agenzie governative, 911 servizi e migliaia di altre aziende si sono svegliate per scoprire che stavano partecipando alla più grande interruzione IT globale della storia. Queste organizzazioni sono venute al lavoro questa mattina per scoprire i loro computer che mostrano il famigerato “Blue Screen of Death” (BSOD). BSOD viene visualizzato quando un sistema Windows si trova di fronte a un errore critico.

Windows Error

L’interruzione di corrente è stata il risultato di un provider di sicurezza degli endpoint, CrowdStrike, che ha spinto fuori un aggiornamento dei contenuti di protezione, causando il fallimento dei computer Windows in tutto il mondo in uno stato infinito di riavvii mentre mostravano questo BSOD.

Questi aggiornamenti dei contenuti per la protezione vengono eseguiti regolarmente dai provider di protezione. Nuove regole, firme e modelli di intelligenza artificiale vengono creati e trasmessi a livello di programmazione come aggiornamenti per garantire che agenti, firewall e altre soluzioni rimangano all’avanguardia quando si tratta di rilevare attività dannose. Anche noi di Edgio dobbiamo affrontare un processo altrettanto rigoroso quando esaminiamo nuove regole e protezioni. Questo processo include un periodo in cui ci concentriamo interamente sulla raccolta delle informazioni. “Non viene applicato alcun blocco, ma viene implementata la firma in quella che chiamiamo modalità “solo avviso”.” Questo ci consente di vedere cosa verrebbe bloccato se la firma o la regola dovesse rilevare una richiesta potenzialmente dannosa. Sulla base di questa intelligenza, possiamo regolare con precisione la regola per garantire una risposta di precisione quando la regola viene infine messa in “modalità blocco”.

Purtroppo, sembra che questo aggiornamento non sia passato attraverso lo stesso livello di rigore prima di essere spedito a livello globale.

Per essere chiari, questo non è solo un paio di computer che vengono rotti per pochi minuti, questo continua ad avere alcuni importanti impatti. Stiamo assistendo a un’interruzione diffusa dei servizi essenziali, tra cui servizi di emergenza, trasporti, assistenza sanitaria e sistemi finanziari.

Questa immagine del traffico aereo di linea che scende praticamente a zero evidenzia la gravità di questo incidente.

https://x.com/US_Stormwatch/status/1814268813879206397

Photo of airport screens during crowdstrike incident
Photo of airport bar screens during crowdstrike incident

Andando oltre, questo problema non lo è risolto rapidamente. I passaggi per la risoluzione richiedono l’intervento manuale. Per riavviare il sistema in modalità provvisoria e. Passare alla directory CrowdStrike all’interno della directory System32 per eliminareil C-00000291* file .sys. Questo è no un processo che può essere automatizzato. Centinaia di migliaia di macchine necessitano di questo intervento manuale. La questione non sarà risolta in modo rapido o economico per molte aziende.

Instructions Image

Fortunatamente per il settore dei servizi finanziari, la borsa valori più grande del mondo, la New York Stock Exchange (NYSE), è stata lasciata indenne. Non sono stati influenzati da questo incidente perché l’infrastruttura NYSE è eseguita su Linux, Red Hat Linux per essere specifici. Fortunatamente, anche Edgio non è influenzato da questo incidente.

Questo incidente sottolinea la nostra dipendenza dall’infrastruttura moderna da singoli elementi tecnologici. Con il progredire della nostra tecnologia, anche la nostra dipendenza da tale tecnologia. Il fatto che un singolo aggiornamento possa avere un tale impatto sulle operazioni globali purtroppo non lo è sorprendente, o imprevisto. Piuttosto, il suo incidente serve come doloroso promemoria per essere preparati a eventi simili con test efficaci, rollback automatico, runbook e pratica per questi tipi di eventi.

Allora, cos’altro possiamo imparare da questo evento?

Numero uno: Compiacenza. Questa parola sembra venire in mente sempre di più mentre ho visto gli eventi svolgersi durante la scorsa settimana. Tendiamo a farlo, come esseri umani. L’eccesso di fiducia e le distorsioni di Recency ci portano a ignorare i rischi e a credere che i successi passati garantiscano risultati futuri. Questi non sono nuovi concetti nel mondo della sicurezza. I budget per la sicurezza sono stati ridotti a causa dei successi storici.

In secondo luogo, comprendere la nostra dipendenza da certe infrastrutture. Le organizzazioni devono identificare, valutare e mitigare i singoli punti di guasto all’interno della propria infrastruttura IT. L’attuazione della ridondanza, la diversificazione dei sistemi critici e la garanzia di procedure operative alternative possono ridurre al minimo l’impatto di tali incidenti. Verifiche periodiche e valutazioni dei rischi possono aiutare a identificare e risolvere queste vulnerabilità.

Cerchiamo anche di essere chiari, questo non significa che tutti gli strumenti di sicurezza degli endpoint siano cattivi, o che dovremmo smettere di usarli. Non lasciamo cadere nelle Recency Bias e dimentichiamo quanto tempo e denaro sono stati risparmiati impedendo solo gli attacchi Ransomware. È necessario continuare a utilizzare un EDR per proteggere la propria infrastruttura? Sì. Esistono altri metodi che potete utilizzare per proteggere le risorse critiche? Assolutamente! Continuiamo a lavorare per essere forti insieme. Resta Frosty!