CrowdStrike ще предостави на клиентите си по-голям контрол върху начина, по който внедряват актуализации на съдържанието на сензорната технология за сигурност на крайни точки Falcon на компанията, след неотдавнашния инцидент, при който дефектна актуализация срина повече от 8,5 милиона системи Windows по целия свят.
Засегнатият доставчик на системи за сигурност – който вече е обект на две съдебни дела във връзка с инцидента – е внедрил нови функции в платформата си, за да поддържа тази възможност, като в бъдеще се планира допълнителна функционалност.
Актуализацията е една от няколкото промени, които CrowdStrike въведе след приключването на анализа на първопричината (RCA) на инцидента от 19 юли. В актуализация от 7 август CrowdStrike обяви други промени, които е направила, за да гарантира, че подобно нещо няма да се случи в бъдеще. Промените включват нови процедури за тестване на системата за конфигуриране на съдържание, допълнителни слоеве за внедряване и проверки за приемане на системата за конфигуриране на съдържание, както и нови проверки за валидиране на актуализациите.
CrowdStrike също така е поискала от двама независими доставчици на услуги за сигурност от трети страни да прегледат кода на нейната сензорна технология Falcon, както и процесите на компанията за контрол на качеството и пускане на продукта. „Използваме поуките, извлечени от този инцидент, за да служим по-добре на нашите клиенти“, заяви главният изпълнителен директор на CrowdStrike Джордж Курц в изявление, придружаващо RCA. „За тази цел вече сме предприели решителни стъпки, за да предотвратим повтарянето на тази ситуация и да помогнем да гарантираме, че ние – и вие – ще станем още по-устойчиви.“
Проблемите на CrowdStrike започнаха с актуализацията на съдържанието от 19 юли за нова сензорна способност Falcon, която доставчикът на системи за сигурност пусна за първи път през февруари 2024 г. Автоматично разгърнатата актуализация доведе до срив на системите Windows по целия свят и създаде огромни смущения в работата на организации от различни сектори, включително авиокомпании, финансови услуги, здравеопазване, производство и правителство. В много случаи системните администратори трябваше ръчно да рестартират компютрите, което означаваше, че на много организации им бяха необходими дни, за да възстановят напълно услугите.
CrowdStrike вече стана обект на поне две колективни съдебни дела във връзка с инцидента – едното от името на акционерите на компанията, а другото – от името на засегнатите предприятия. Очаква се през следващите дни и месеци много други компании, включително Delta Air Lines, да заведат дела срещу CrowdStrike за свързаните с прекъсването разходи.
Производителят на системи за сигурност определи като основна причина за проблемите несъответствието в броя на параметрите между това, което очакваше неговият сензорен продукт Falcon, и това, което действително съдържаше актуализацията на конфигурацията на съдържанието от 19 юли. Актуализацията беше за функция на сензора Falcon, която CrowdStrike пусна през февруари, за да открива и предоставя информация за нови техники за атаки, които използват специфични механизми на Windows. Falcon sensor използва специфичен шаблон с предварително определен набор от 20 отделни входни полета, за да предостави тази специфична възможност.
Актуализацията на конфигурацията на съдържанието на CrowdStrike на 19 юли предостави 21 входни полета, а не 20-те полета, които сензорът очакваше. „В този случай несъответствието доведе до четене на памет извън границите, което причини срив на системата“, заявиха от CrowdStrike.
Въпреки че доставчикът на системи за сигурност е представил шаблона с несъответстващия брой параметри през февруари, неговият анализ е показал, че той се е изплъзнал покрай множество нива на валидиране и тестване на компилацията. Никой не е забелязал несъответствието по време на тестовия процес за пускане на сензора, по време на стрес тестовете на шаблона или дори по време на първоначалните реални внедрявания. Отчасти това се дължи на факта, че тестовите процеси и първоначалните разгръщания са използвали „критерии за съвпадение със символи“ – което означава, че са приемали всякаква стойност или никаква стойност – за параметъра на допълнителното поле за въвеждане.
При актуализацията от 19 юли за параметъра от 21 юли е използван критерий за съответствие, който не е „уайлдкард“, което означава, че сензорът е трябвало да се бори с данни за поле, което не е очаквал. „Интерпретаторът на съдържание очакваше само 20 стойности“, заяви CrowdStrike. „Поради това опитът за достъп до 21-вата стойност доведе до четене на памет извън границите след края на масива с входни данни и доведе до срив на системата.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.