Świat na włosku. Jak uniknąć globalnego paraliżu?

Należy podkreślić, że piątkowe wydarzenia to nie był cyberatak. Nie wykorzystano żadnej podatności w systemie czy nie wykradziono danych wrażliwych. Najprawdopodobniej incydent był spowodowany szeregiem błędów ludzkich, zaczynając od samego wadliwego kodu, kończąc na braku odpowiedniego testowania oprogramowania przed opublikowaniem aktualizacji dla milionów urządzeń.

Nietypowy problem

Wadliwa aktualizacja dotknęła sensorów CrowdStrike Falcon na Windowsie. Samo rozwiązanie amerykańskiego giganta technologicznego to EDR (Endpoint Detection and Response). Zgodnie z opisem na Kapitan Hack: „EDR analizuje, monitoruje oraz zapisuje informacje o działaniu systemu oraz procesów na urządzeniu końcowym. (…) Pozwala na wykrywanie zagrożeń ukrytych na przykład w pamięci komputera, co dla innych systemów jest praktycznie niemożliwe”.

Aktualizacja powodująca zawieszanie się maszyn była dostępna do pobrania między 6:09 a 7:27 polskiego czasu. Wiele urządzeń pobrało ją automatycznie, czego skutki były widoczne na całym świecie. Takie błędy w aktualizacjach oprogramowania to bardzo rzadkie incydenty, które nigdy nie powinny się wydarzyć. Na pewno nie powinniśmy rezygnować z samych EDR-ów i aktualizowania oprogramowania.

Skala incydentu

Problemy z CrowdStrike dotknęły mniej niż 1% komputerów na Windowsie, co opisano w stanowisku wiceszefa Microsoftu ds. bezpieczeństwa przedsiębiorstwa i systemów operacyjnych. Należy jednak zaznaczyć, że rola wielu komputerów korzystających z CrowdStrike Falcon EDR została określona jako „krytyczna”. Więcej o stanowisku Microsoftu można przeczytać w artykule Pawła Makowca na naszym portalu.

W maju 2000 roku robak ILOVEYOU wpłynął na ponad 10% komputerów podłączonych do Internetu, wliczając to wiele korporacji i służb. Wówczas straty wyceniono na 5.5 miliarda dolarów. Dziewięć lat później robak Conficker zainfekował od dziewięciu do piętnastu milionów urządzeń. W 2017 roku WannaCry udało się zaatakować ponad 300 tysięcy komputerów. Wszystkie wspomniane ataki dotyczyły różnych wersji systemu Windows.

Można stwierdzić, że wydarzenia z 19 lipca to jedna z największych awarii komputerów na świecie, której skutki są wciąż badane.

Zapobieganie

Podstawą w myśleniu o cyberbezpieczeństwie jest to, że wydane pieniądze nie muszą wprost przekładać się na zwiększanie poziomu bezpieczeństwa w organizacji. Wicepremier Gawkowski słusznie zauważył, że nie powinniśmy nigdy polegać na rozwiązaniach jednej firmy. Podkreślił również rolę otwartoźródłowego oprogramowania.

Ostatnia awaria pokazuje również zasadność modelu Zero Trust. Zgodnie z EMS Partner: „Zero Trust oparte jest na przekonaniu, że każdy użytkownik, urządzenie oraz adres IP uzyskujący dostęp do zasobu stanowi zagrożenie. Dopóki nie udowodni, że jest inaczej. Dlatego nawiązując do tej koncepcji, nigdy nie powinniśmy ufać, a zawsze weryfikować. Tylko w ten sposób, jesteśmy w stanie zapewnić najwyższy poziom bezpieczeństwa”.

Warto również stosować różne narzędzia, sprzęt i systemy operacyjne. Nigdy nie powinniśmy opierać się w pełni na jednym rozwiązaniu. Przykładowo, systemy z rodziny Linuksa nie zostały dotknięte ostatnią awarią.

Z punktu widzenia CrowdStrike warto przede wszystkim przyjrzeć się testowaniu oprogramowania przed wypuszczeniem aktualizacji dla milionów urządzeń. Taki błąd nie powinien się wydarzyć przy odpowiednich procesach.

/OK

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].