Американската компания за киберсигурност SentinelOne разкри, че глобално прекъсване на услуги с продължителност над седем часа в четвъртък е било причинено от софтуерен дефект, а не от кибератака. Инцидентът засегна множество клиентски услуги и предизвика тревоги сред потребителите, въпреки че защитата на крайните точки не е била компрометирана.

Неуспешна автоматизация доведе до срив в инфраструктурата

В първоначалното си изявление SentinelOne увери своите клиенти, че техните системи остават защитени, макар услугите за управлявана реакция да са временно без достъп и функционалности като отчетност и данни за заплахи да са с изоставане. Според компанията, причината не е свързана със злонамерена дейност или компрометиране на сигурността.

„Крайните точки на клиентите са защитени, но управляваните услуги за реакция временно нямат видимост. Данните за заплахи се обработват със закъснение, но не са загубени. Първоначалният анализ сочи, че това не е инцидент със сигурността“, заявиха от SentinelOne.

Коренна причина: повреда в остаряваща контролна система

В публикувания два дни по-късно анализ на коренната причина (Root Cause Analysis), компанията потвърди, че проблемът е произтекъл от грешка в конфигурационна функция на контролна система, която по погрешка е изтрила критични мрежови маршрути и DNS правила. Това довело до масов срив на свързаните услуги в различни региони.

Сривът е настъпил, когато в процеса на създаване на нов акаунт, стара, предстояща за извеждане от употреба контролна система е била задействана и поради грешка в сравняването на конфигурации, автоматично е възстановила празна резервна версия на таблицата с маршрути за AWS Transit Gateway.

„Тази контролна система вече не се използва като основен източник на истина за мрежови конфигурации, но въпреки това тя бе задействана и възстанови празна таблица, което доведе до прекъсване на комуникацията с критични инфраструктурни компоненти“, обясниха от SentinelOne.

Последствията: загубен достъп, но запазена защита

В резултат на инцидента:

• Бе прекъснат програмният достъп до SentinelOne услугите.

• Unified Asset Management/Inventory и услугите за управление на идентичности също спряха работа.

• Клиентите не можеха да преглеждат уязвимости или да достъпват конзолите за идентичности.

• Възможно е да е било нарушено събирането на данни от външни източници и подаването на аларми от MDR (Managed Detection and Response).

Въпреки всичко, крайните точки на клиентите са останали защитени – защитните агенти на устройствата са продължили да функционират самостоятелно, макар че екипите по сигурността не са могли да влязат в управленската конзола или да следят текущите заплахи в реално време.

Поглед напред: нова архитектура и по-строг контрол

SentinelOne подчерта, че е в процес на преминаване към нова облачна архитектура, базирана на принципите на Infrastructure-as-Code (IaC). Компанията обеща по-строг контрол върху остаряващите системи, за да предотврати бъдещи инциденти от подобен характер.