Масштабный киберсбой Crowdstrike спустя год: уроки, которые предприятия могут извлечь для повышения безопасности

Как мы писали в нашем первоначальном анализе инцидента CrowdStrike , сбой 19 июля 2024 года стал суровым напоминанием о важности киберустойчивости. Спустя год и CrowdStrike , и вся отрасль претерпели значительные изменения, катализатором которых стали 78 минут, изменивших всё.

«Первая годовщина 19 июля знаменует собой момент, который глубоко повлиял на наших клиентов и партнеров и стал одной из самых определяющих глав в истории CrowdStrike», — написал президент CrowdStrike Майк Сентонас в блоге, подробно описывая годичный путь компании к повышению устойчивости.

Цифры по-прежнему отрезвляют: ошибочное обновление Channel File 291, развёрнутое в 04:09 UTC и отменённое всего через 78 минут, привело к сбою 8,5 миллионов систем Windows по всему миру. По оценкам страховщиков, убытки только 500 крупнейших американских компаний составили 5,4 миллиарда долларов. Особенно сильно пострадала авиация: по всему миру было отменено 5078 рейсов.

Штеффен Шрайер, старший вице-президент по продуктам и портфолио компании Telesign , входящей в состав Proximus Global, объясняет, почему этот инцидент так актуален год спустя: «Год спустя инцидент с CrowdStrike не просто запомнился, его невозможно забыть. Плановое обновление программного обеспечения, развёрнутое без злого умысла и отменённое всего за 78 минут, всё же смогло вывести из строя критически важную инфраструктуру по всему миру. Никакого нарушения. Никакой атаки. Всего один внутренний сбой с глобальными последствиями».

Его технический анализ раскрывает неприятную правду о современной инфраструктуре: «Это настоящий тревожный сигнал: даже компании с проверенными практиками, поэтапным внедрением и быстрым откатом не могут опередить риски, связанные с той самой инфраструктурой, которая обеспечивает быструю доставку в облаке. Та же скорость, которая позволяет нам быстрее поставлять решения, также увеличивает радиус поражения, если что-то идёт не так».

Анализ первопричин, проведённый CrowdStrike, выявил ряд технических сбоев: несоответствие полей ввода в типе шаблона IPC, отсутствие проверки границ массива во время выполнения и логическую ошибку в валидаторе контента. Это были не пограничные случаи, а фундаментальные пробелы в контроле качества.

Мерритт Бэр, новый директор по безопасности Enkrypt AI и консультант таких компаний, как Andesite, приводит важный контекст: «Сбой в работе CrowdStrike стал настоящим потрясением; он напомнил нам, что даже в очень крупных и опытных компаниях иногда случаются ошибки. Этот конкретный результат в какой-то степени стал совпадением, но такого быть не должно. Он показал, что они не внедрили некоторые базовые протоколы непрерывной интеграции и непрерывной доставки (CI/CD)».

Ее оценка прямолинейна, но справедлива: «Если бы CrowdStrike развернула обновление в песочницах и отправляла его в производство только по частям, как это принято, это было бы менее катастрофично, если бы вообще было».

Однако Бэр также признаёт ответ CrowdStrike: «Коммуникационная стратегия CrowdStrike продемонстрировала хорошее чувство ответственности руководства. Руководители всегда должны брать на себя ответственность — это не вина стажёра. Если ваш младший оператор может ошибиться, это моя вина. Это вина нашей компании».

Джордж Курц, основатель и генеральный директор CrowdStrike, стал примером этого принципа владения. В публикации в LinkedIn, посвящённой годовщине, Курц написал: «Год назад мы столкнулись с моментом, который стал испытанием для всего: наших технологий, нашей деятельности и доверия, которое нам оказывали другие. Как основатель и генеральный директор, я взял эту ответственность на себя. Я всегда это делал и буду делать».

Его взгляд показывает, как компания преобразовалась из кризиса: «Нас определил не тот момент, а всё, что произошло потом. С самого начала наша цель была ясна: создать ещё более сильный CrowdStrike, основанный на устойчивости, прозрачности и неустанной работе. Нашей путеводной звездой всегда были наши клиенты».

Ответ CrowdStrike был сосредоточен на их фреймворке Resilient by Design, который Сентонас описывает как нечто большее, чем просто «быстрые решения или поверхностные улучшения». Три столпа фреймворка, включая базовый, адаптивный и непрерывный компоненты, представляют собой комплексное переосмысление того, как должны работать платформы безопасности.

Ключевые реализации включают в себя:

• Самовосстановление датчика : автоматическое обнаружение циклов сбоев и переход в безопасный режим
• Новая система распространения контента : кольцевое развертывание с автоматизированными мерами безопасности
• Расширенный контроль клиентов : возможности детального управления обновлениями и закрепления контента
• Центр цифровых операций : специализированный объект для глобального мониторинга инфраструктуры
• Falcon Super Lab : тестирование тысяч комбинаций ОС, ядер и оборудования

«Мы не просто добавили несколько вариантов настройки контента», — подчеркнул Сентонас в своём блоге. «Мы принципиально переосмыслили, как клиенты могут взаимодействовать с корпоративными платформами безопасности и управлять ими».

Инцидент заставил более широко задуматься о зависимости от поставщиков. Бэр ясно формулирует этот урок: «Один из важнейших практических уроков заключался в том, что ваши поставщики являются частью вашей цепочки поставок. Поэтому, как руководитель службы информационной безопасности, вы должны оценивать риск, чтобы быть в курсе его, но, говоря проще, эта проблема касалась поставщика в модели совместной ответственности. Клиент не смог бы её контролировать».

Сбой в работе CrowdStrike навсегда изменил оценку поставщиков: «Я вижу, как эффективные руководители служб информационной безопасности и руководители служб информационной безопасности извлекают из этого уроки, касающиеся компаний, с которыми они хотят работать, и безопасности, которую они получают в результате совместного бизнеса. Я буду работать только с теми компаниями, которые я уважаю с точки зрения безопасности. Им не обязательно быть идеальными, но я хочу быть уверенным, что они используют правильные процессы, и это будет продолжаться».

Сэм Карри, директор по информационной безопасности Zscaler, добавил: «То, что случилось с CrowdStrike, — это печально, но подобное могло случиться со многими, поэтому, оглядываясь назад, мы, пожалуй, не будем их винить. Скажу лишь, что мир воспользовался этим, чтобы переориентироваться, и в результате уделил больше внимания устойчивости, и это победа для всех, поскольку наша общая цель — сделать интернет более безопасным и надёжным для всех».

Анализ Шрайера выходит за рамки CrowdStrike и касается фундаментальной архитектуры безопасности: «Скорость при масштабировании имеет свою цену. Каждое плановое обновление теперь несёт в себе риск потенциального системного сбоя. Это означает не только тестирование, но и меры обеспечения устойчивости: многоуровневую защиту, автоматические пути отката и отказоустойчивые механизмы, которые предполагают, что телеметрия может исчезнуть именно тогда, когда она вам больше всего нужна».

Его самое важное замечание касается сценария, который многие не рассматривали: «А когда телеметрия отключается, вам нужны отказоустойчивые системы, которые предполагают, что видимость может исчезнуть».

Это представляет собой смену парадигмы. Как заключает Шрайер: «Поскольку безопасность сегодня — это не просто защита от злоумышленников, а абсолютная гарантия того, что ваши собственные системы никогда не станут единственной точкой отказа».

Бэр видит, что следующая эволюция уже намечается: «С тех пор, как облако позволило нам разрабатывать решения, используя инфраструктуру как код, и особенно сейчас, когда ИИ позволяет нам по-новому подходить к обеспечению безопасности, я изучаю, как решения об инфраструктуре дополняются автономностью от людей и ИИ. Мы можем и должны использовать наложение логики, а также эффективное снижение рисков для таких процессов, как принудительные обновления, особенно на высоких уровнях привилегий».

Перспективные инициативы CrowdStrike включают:

• Наем главного специалиста по устойчивости, подчиняющегося непосредственно генеральному директору
• Проект Ascent, исследующий возможности за пределами пространства ядра
• Сотрудничество с Microsoft над платформой безопасности конечных точек Windows
• Сертификация ISO 22301 для управления непрерывностью бизнеса

Год спустя трансформация очевидна. Курц размышляет: «Сегодня наша компания сильнее, чем год назад. Работа продолжается. Миссия остаётся неизменной. И мы движемся вперёд: сильнее, умнее и ещё более преданные делу, чем когда-либо».

К чести Курца, он также выражает благодарность тем, кто поддерживал компанию: «Каждому клиенту, который оставался с нами, даже когда было трудно, спасибо за ваше неизменное доверие. Нашим замечательным партнёрам, которые поддерживали нас и засучили рукава, спасибо за то, что вы — наша большая семья».

Последствия этого инцидента выходят далеко за рамки CrowdStrike. Организации теперь внедряют поэтапное внедрение, поддерживают возможность ручного управления и, что особенно важно, планируют действия на случай отказа самих средств безопасности. Отношения с поставщиками оцениваются с новой строгостью, учитывая, что в нашей взаимосвязанной инфраструктуре каждый компонент критически важен.

Как признаёт Сентонас: «Эта работа не закончена и никогда не будет закончена. Устойчивость — это не веха; это дисциплина, требующая постоянной самоотдачи и развития». Инцидент с CrowdStrike 19 июля 2024 года запомнится не только вызванными им потрясениями, но и тем, что он послужил катализатором общеотраслевого перехода к истинной устойчивости.

Столкнувшись с самым серьёзным вызовом, CrowdStrike и вся экосистема безопасности пришли к более глубокому пониманию: защита от угроз подразумевает, что сами защитники не смогут причинить вреда. Этот урок, усвоенный за 78 трудных минут и год преобразований, может оказаться самым ценным наследием инцидента.