Американската компания за киберсигурност SentinelOne разкри, че глобално прекъсване на услуги с продължителност над седем часа в четвъртък е било причинено от софтуерен дефект, а не от кибератака. Инцидентът засегна множество клиентски услуги и предизвика тревоги сред потребителите, въпреки че защитата на крайните точки не е била компрометирана.
В първоначалното си изявление SentinelOne увери своите клиенти, че техните системи остават защитени, макар услугите за управлявана реакция да са временно без достъп и функционалности като отчетност и данни за заплахи да са с изоставане. Според компанията, причината не е свързана със злонамерена дейност или компрометиране на сигурността.
„Крайните точки на клиентите са защитени, но управляваните услуги за реакция временно нямат видимост. Данните за заплахи се обработват със закъснение, но не са загубени. Първоначалният анализ сочи, че това не е инцидент със сигурността“, заявиха от SentinelOne.
В публикувания два дни по-късно анализ на коренната причина (Root Cause Analysis), компанията потвърди, че проблемът е произтекъл от грешка в конфигурационна функция на контролна система, която по погрешка е изтрила критични мрежови маршрути и DNS правила. Това довело до масов срив на свързаните услуги в различни региони.
Сривът е настъпил, когато в процеса на създаване на нов акаунт, стара, предстояща за извеждане от употреба контролна система е била задействана и поради грешка в сравняването на конфигурации, автоматично е възстановила празна резервна версия на таблицата с маршрути за AWS Transit Gateway.
„Тази контролна система вече не се използва като основен източник на истина за мрежови конфигурации, но въпреки това тя бе задействана и възстанови празна таблица, което доведе до прекъсване на комуникацията с критични инфраструктурни компоненти“, обясниха от SentinelOne.
В резултат на инцидента:
Бе прекъснат програмният достъп до SentinelOne услугите.
Unified Asset Management/Inventory и услугите за управление на идентичности също спряха работа.
Клиентите не можеха да преглеждат уязвимости или да достъпват конзолите за идентичности.
Възможно е да е било нарушено събирането на данни от външни източници и подаването на аларми от MDR (Managed Detection and Response).
Въпреки всичко, крайните точки на клиентите са останали защитени – защитните агенти на устройствата са продължили да функционират самостоятелно, макар че екипите по сигурността не са могли да влязат в управленската конзола или да следят текущите заплахи в реално време.
SentinelOne подчерта, че е в процес на преминаване към нова облачна архитектура, базирана на принципите на Infrastructure-as-Code (IaC). Компанията обеща по-строг контрол върху остаряващите системи, за да предотврати бъдещи инциденти от подобен характер.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
