Cyberbezpieczeństwo
Świat na włosku. Jak uniknąć globalnego paraliżu?
Awaria z 19 lipca 2024 roku była jedną z największych dotychczasowych awarii komputerów w historii. Błąd w aktualizacji CrowdStrike Falcon spowodował pojawienie się „niebieskiego ekranu śmierci” na 8.5 milionach komputerów z Windowsem. Jak zapobiec takim wydarzeniom w przyszłości?
Należy podkreślić, że piątkowe wydarzenia to nie był cyberatak. Nie wykorzystano żadnej podatności w systemie czy nie wykradziono danych wrażliwych. Najprawdopodobniej incydent był spowodowany szeregiem błędów ludzkich, zaczynając od samego wadliwego kodu, kończąc na braku odpowiedniego testowania oprogramowania przed opublikowaniem aktualizacji dla milionów urządzeń.
Nietypowy problem
Wadliwa aktualizacja dotknęła sensorów CrowdStrike Falcon na Windowsie. Samo rozwiązanie amerykańskiego giganta technologicznego to EDR (Endpoint Detection and Response). Zgodnie z opisem na Kapitan Hack: „EDR analizuje, monitoruje oraz zapisuje informacje o działaniu systemu oraz procesów na urządzeniu końcowym. (…) Pozwala na wykrywanie zagrożeń ukrytych na przykład w pamięci komputera, co dla innych systemów jest praktycznie niemożliwe”.
Czytaj też
Aktualizacja powodująca zawieszanie się maszyn była dostępna do pobrania między 6:09 a 7:27 polskiego czasu. Wiele urządzeń pobrało ją automatycznie, czego skutki były widoczne na całym świecie. Takie błędy w aktualizacjach oprogramowania to bardzo rzadkie incydenty, które nigdy nie powinny się wydarzyć. Na pewno nie powinniśmy rezygnować z samych EDR-ów i aktualizowania oprogramowania.
Skala incydentu
Problemy z CrowdStrike dotknęły mniej niż 1% komputerów na Windowsie, co opisano w stanowisku wiceszefa Microsoftu ds. bezpieczeństwa przedsiębiorstwa i systemów operacyjnych. Należy jednak zaznaczyć, że rola wielu komputerów korzystających z CrowdStrike Falcon EDR została określona jako „krytyczna”. Więcej o stanowisku Microsoftu można przeczytać w artykule Pawła Makowca na naszym portalu.
Czytaj też
W maju 2000 roku robak ILOVEYOU wpłynął na ponad 10% komputerów podłączonych do Internetu, wliczając to wiele korporacji i służb. Wówczas straty wyceniono na 5.5 miliarda dolarów. Dziewięć lat później robak Conficker zainfekował od dziewięciu do piętnastu milionów urządzeń. W 2017 roku WannaCry udało się zaatakować ponad 300 tysięcy komputerów. Wszystkie wspomniane ataki dotyczyły różnych wersji systemu Windows.
Można stwierdzić, że wydarzenia z 19 lipca to jedna z największych awarii komputerów na świecie, której skutki są wciąż badane.
Zapobieganie
Podstawą w myśleniu o cyberbezpieczeństwie jest to, że wydane pieniądze nie muszą wprost przekładać się na zwiększanie poziomu bezpieczeństwa w organizacji. Wicepremier Gawkowski słusznie zauważył, że nie powinniśmy nigdy polegać na rozwiązaniach jednej firmy. Podkreślił również rolę otwartoźródłowego oprogramowania.
💬 Trzeba inwestować w otwarte oprogramowanie, walczyć o suwerenność cyfrową, nie podlegać presji tego, że jest jedna firma, która obsługuje całą administrację. Całe szczęście, w Polsce tak nie jest.
— Ministerstwo Cyfryzacji (@CYFRA_GOV_PL) July 20, 2024
- Wicepremier, Minister Cyfryzacji @KGawkowski w @faktypofaktach @tvn24 pic.twitter.com/V84ADkU2nw
Ostatnia awaria pokazuje również zasadność modelu Zero Trust. Zgodnie z EMS Partner: „Zero Trust oparte jest na przekonaniu, że każdy użytkownik, urządzenie oraz adres IP uzyskujący dostęp do zasobu stanowi zagrożenie. Dopóki nie udowodni, że jest inaczej. Dlatego nawiązując do tej koncepcji, nigdy nie powinniśmy ufać, a zawsze weryfikować. Tylko w ten sposób, jesteśmy w stanie zapewnić najwyższy poziom bezpieczeństwa”.
Warto również stosować różne narzędzia, sprzęt i systemy operacyjne. Nigdy nie powinniśmy opierać się w pełni na jednym rozwiązaniu. Przykładowo, systemy z rodziny Linuksa nie zostały dotknięte ostatnią awarią.
Z punktu widzenia CrowdStrike warto przede wszystkim przyjrzeć się testowaniu oprogramowania przed wypuszczeniem aktualizacji dla milionów urządzeń. Taki błąd nie powinien się wydarzyć przy odpowiednich procesach.
/OK
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].