Home Blogs BSOD로 인한 전 세계 IT 중단 원인 CrowdStrike 업데이트
Applications

BSOD로 인한 전 세계 IT 중단 원인 CrowdStrike 업데이트

About The Author

Outline

오늘(19JUL2024), 글로벌 항공사, 의료 서비스 제공업체, 정부 기관, 911 서비스 및 수천 개의 다른 기업들이 잠에서 깨어 역사상 가장 큰 글로벌 IT 중단 사태에 참여하고 있음을 알게되었습니다. 이 조직들은 오늘 아침 악명 높은 “죽음의 블루 스크린”(BSOD)을 표시하는 컴퓨터를 발견하기 위해 일했습니다. BSOD는 Windows 시스템에 심각한 오류가 발생할 때 표시됩니다.

Windows Error

오늘날의 중단은 엔드포인트 보안 제공업체인 CrowdStrike가 보안 콘텐츠 업데이트를 추진하여 이 BSOD를 보여주면서 전 세계 Windows 컴퓨터가 끝없이 재부팅되도록 한 결과입니다.

이러한 보안 콘텐츠 업데이트는 보안 공급자에 의해 정기적으로 실행됩니다. 새로운 규칙, 시그니처 및 AI 모델이 만들어지고 업데이트로 프로그래밍 방식으로 제공되어 에이전트, 방화벽 및 기타 솔루션이 악의적인 활동을 탐지할 때 최첨단 기술을 유지할 수 있습니다. Edgio에서 우리도 새로운 규칙과 보호를 추진할 때 유사한 엄격한 과정을 거쳐야 합니다. 이 프로세스에는 정보 수집에 전적으로 집중하는 기간이 포함됩니다. 블록이 적용되지 않고 대신 “Alert Only” 모드로 서명을 배포합니다. 이렇게 하면 서명 또는 규칙이 잠재적으로 악의적인 요청을 catch할 경우 무엇이 차단되는지 확인할 수 있습니다. 이 인텔리전스를 기반으로 규칙을 미세하게 조정하여 규칙이 궁극적으로 “블록 모드”로 전환될 때 정밀한 응답을 보장할 수 있습니다.

안타깝게도 이 업데이트는 전세계로 배송되기 전에 동일한 수준의 엄격한 기준을 통과하지 못할 수 있습니다.

분명한 것은 몇 분 동안 몇 대의 컴퓨터가 고장나는 것이 아니라 몇 가지 큰 영향을 계속 받고 있다는 것입니다. 응급 서비스, 교통, 의료, 금융 시스템 등 필수 서비스가 폭넓게 중단되고 있습니다.

이 항공기 교통량이 거의 없음에 대한 이미지는 이 사고의 심각성을 강조합니다.

https://x.com/US_Stormwatch/status/1814268813879206397

Photo of airport screens during crowdstrike incident
Photo of airport bar screens during crowdstrike incident

더 나아가서, 이 문제는 빨리 해결되었습니다. 해결 단계는 수동 개입이 필요합니다. 시스템을 안전 모드로 다시 시작하려면 사람이 키보드 앞에 있어야 합니다. System32 디렉터리 내의 CrowdStrike 디렉터리로 이동하여 C-00000291*을 삭제합니다. .sys 파일. 이것은 아님 자동화할 수 있는 프로세스입니다. 수십만 대의 기계에 이러한 수동 개입이 필요합니다. 이 문제는 많은 기업에서 신속하게 또는 저렴하게 해결되지 않을 것입니다.

Instructions Image

다행히도 금융 서비스 업계에서는 세계 최대 증권 거래소인 뉴욕 증권 거래소(NYSE)가 피해를 입지 않았습니다. NYSE 인프라가 Linux에서 실행되기 때문에 이 사건의 영향을 받지 않았습니다. Red Hat Linux의 구체적인 특징. 다행히도 에드지오 역시 이 사건의 영향을 받지 않았다.

이 사건은 현대 인프라가 개별 기술에 의존하고 있음을 강조합니다. 우리의 기술이 발전함에 따라, 우리의 기술에 대한 의존도도 증가합니다. 단일 업데이트가 글로벌 운영에 그러한 영향을 미칠 수 있다는 사실은 안타깝게도 놀랍거나 예상치 못한 오히려 이 사건은 이러한 유형의 이벤트에 대한 강력한 테스트, 자동화된 롤백, 런북 및 연습을 통해 유사한 이벤트에 대비해야 한다는 고통스러운 알림 역할을 합니다.

이 이벤트에서 우리는무엇을 배울 수 있습니까?

첫째, 안심입니다. 이 단어는 지난 주에 펼쳐지는 사건을 보았을 때 점점 더 마음에 들어오는 것 같습니다. 우리는 인간으로서 그렇게 하는 경향이 있습니다. 과신과 최근의 편견은 위험을 무시하고 과거의 성공이 미래의 결과를 보장한다고 믿게합니다. 이것은 보안의 세계에서 새로운 개념이 아닙니다. 역사적인 성공으로 인해 보안 예산이 줄어들 것으로 예상됩니다.

둘째, 특정 인프라에 대한 의존도를 이해하는 것입니다. 조직은 IT 인프라 내에서 단일 장애 지점을 식별하고 평가하고 완화해야 합니다. 이중화 구현, 중요 시스템의 다각화 및 대체 운영 절차를 보장하면 이러한 사고의 영향을 최소화할 수 있습니다. 정기적인 감사 및 위험 평가는 이러한 취약점을 식별하고 해결하는 데 도움이 될 수 있습니다.

또한 분명히 말하지만, 이것이 모든 엔드포인트 보안 도구가 나쁘거나 사용을 중단해야한다는 것을 의미하지는 않습니다. 최근의 편향에 빠지지 말고 랜섬웨어 공격만 방지함으로써 얼마나 많은 시간과 비용을 절약했는지 잊어 버리십시오. 인프라를 보호하기 위해 EDR을 계속 사용해야 합니까? 예. 중요한 자산을 보호하기 위해 사용할 수 있는 추가 방법이 있습니까? 물론입니다! 함께 강해지기 위해 계속 노력합시다. 얼음을 유지하세요!