Анализът показва, че разходите, свързани с прекъсването на информационните технологии на CrowdStrike, могат да нараснат през следващите седмици
Докато прахът се утаява след прекъсването на работата на CrowdStrike, истинската степен на щетите, причинени от прекъсването, става все по-ясна.
Почти седмица след първоначалното прекъсване, причинено за първи път от дефектна актуализация, фирмата за киберсигурност обяви, че към 24 юли повече от 97% от сензорите на Windows са отново онлайн.
На 25 юли главният изпълнителен директор на CrowdStrike Джордж Курц се включи в LinkedIn, за да отбележи, че макар по-голямата част от засегнатите машини да са отново онлайн, компанията продължава да работи, за да гарантира, че всяка засегната система е възстановена до пълна функционалност.
Разследвайки цената на прекъсването, причинено от инцидента, специалистът по анализ на прекъсванията в облака Parametrix Insurance изчисли, че прекъсването е причинило преки загуби в размер на 5,4 млрд. долара на американските компании от класацията Fortune 500.
Всъщност тази цифра не включва загубите, понесени от Microsoft, което показва, че цялостното финансово въздействие на инцидента вероятно е много по-голямо. В доклада се отбелязва също така, че е малко вероятно полиците за киберзастраховане да покрият степента на претърпените от компаниите смущения.
„Частта от загубите, покрита от киберзастрахователните полици, вероятно ще бъде не повече от 10-20 % поради големите задържания на риска от страна на много компании и ниските лимити на полиците в сравнение с потенциалните загуби от прекъсване на работата.“
В доклад, очертаващ основните детайли зад инцидента, Forrester отбелязва, че това е само върхът на айсберга, когато става въпрос за правни и регулаторни последици от прекъсването.
„Конгресът на САЩ вече окачестви това като въпрос, свързан с „критичната инфраструктура“, и според съобщенията регулаторните агенции са в контакт с CrowdStrike. Регулаторните органи на ЕС и Обединеното кралство ще искат да напрегнат мускулите си със своето законодателство за оперативна устойчивост и продукти за киберсигурност. Разбира се, ще има множество съдебни дела срещу CrowdStrike, но договорите на ISV обикновено ограничават последващите щети“.
Forrester също така предупреди, че ще има по-дългосрочни последици за нивото на отчетност и поддръжка, свързани с процедурите за актуализация.
„В дългосрочен план ще има призиви към всички доставчици на софтуер да подобрят сигурността и качеството по проект, да осигурят по-голям контрол и прозрачност на актуализациите и да предложат по-голяма отчетност и поддръжка. Доставчиците на операционни системи (ОС) изведнъж ще открият, че технологичните лидери изискват да знаят много повече за дизайна на ядрата.“
В своя предварителен преглед след инцидента CrowdStrike съобщи, че прекъсването на работата е причинено от несполучлива актуализация за бързо реагиране, която е съдържала проблем с безопасността на паметта, по-конкретно нарушение на достъпа при четене извън границите в драйвера CSagent.
Докладът за реакция при инцидент от Microsoft потвърди първоначалните констатации на CrowdStrike, като използва WinDBG Kernel Debugger на Microsoft и серия от разширения за анализ на сривовете.
Забележително е, че Microsoft разкри, че нейната оценка за 8,5 милиона устройства, засегнати от актуализацията, се основава на тези клиенти, които са избрали да споделят своите доклади за сривове, което в крайна сметка е подмножество на общата цифра на засегнатите машини, което показва, че действителният брой е по-голям.
В доклада си за инцидента Forrester заяви, че „каскадни провали в управлението на риска са довели до масовия срив“, като посочи, че наличните доказателства сочат, че инцидентът е бил до голяма степен провал в осигуряването на качеството.
„Това беше актуализация на конфигурацията на съдържанието. За този вид актуализация на съдържанието CrowdStrike не е провел същото широкообхватно тестване, както при актуализациите на сензорите. Имаше два допълнителни проблема, които ускориха прекъсването. Първо, имаше неоткрит бъг в логиката за тестване/качество на CrowdStrike, който не успя да идентифицира проблемните данни за съдържанието“, се посочва в доклада.
„Второ, тъй като CrowdStrike не е разпределял поетапно разгръщането на актуализациите на съдържанието, той е разгърнал тази актуализация навсякъде наведнъж. CrowdStrike вече се ангажира да отстрани и двата проблема.“
Съдържанието за бързо реагиране е един от двата канала, използвани от CrowdStrike за предоставяне на актуализации на конфигурацията на съдържанието за сигурност, предназначени да отговорят на бързо развиващия се пейзаж на заплахите.
Дейвид Фърбраш, управляващ директор на Beyond Blue, заяви, че инцидентът подчертава рисковете, свързани с подобни механизми за бързи актуализации, особено когато актуализацията засяга софтуер, толкова силно концентриран в корпоративните устройства, какъвто е CrowdStrike Falcon.
„Инцидентът отчасти се отнася и до рисковете от бързи автоматизирани актуализации в живи производствени среди и необходимостта организациите да имат възможност да контролират начина на прилагане на тези актуализации и да балансират риска от отложена актуализация (която потенциално оставя отворени проблеми със сигурността, но позволява допълнително тестване) с риска от незабавно прилагане. Това е тънък баланс и сложните клиенти трябва да могат да го постигнат.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.