CrowdStrike Bir Yıl Sonra: Yüzyılın Siber Hatasından Sonra Neler Oldu ve Neler Değişti?

Bir yaz önce, 19 Temmuz gecesi, teknoloji dünyası ve ötesi, siber güvenlik çözümleri konusunda uzmanlaşmış ABD merkezli CrowdStrike şirketinin açıkça "Kara Pazartesi" olarak tanımladığı bir olayla sarsıldı. Neden bahsediyoruz? "Falcon" uç nokta koruma yazılımının hatalı bir güncellemesinden kaynaklanan ve milyonlarca Windows cihazını etkileyen ve dünya çapında binlerce işletmeyi felç eden büyük bir BT arızası. Bugün, on iki ay sonra, durum değerlendirmesi yapma zamanı: Tam olarak ne oldu ve her şeyden önemlisi, siber güvenlik alanında herhangi bir şey değişti mi (ve neden)?

Bilgisayarlar aniden çalışmayı bıraktı, yazıcılar kullanılamaz hale geldi ve sunucular çöktü; tüm bunlar birkaç saat içinde gerçekleşti. Tehdit veritabanının güncellenmesi sırasında oluşan bir hata nedeniyle tam olarak bu yaşandı ve yanlış pozitif dalgasını tetikledi. Sistemleri saldırılardan korumak için tasarlanan yazılım, Windows bilgisayarların ve sanal makinelerin meşru dosyalarını ve kritik bileşenlerini yanlış bir şekilde tehdit olarak tanımlayarak bunların yürütülmesini engelledi. Teknik olarak bir BSOD (Mavi Ekran) oluştu ve etkisi anında ve yıkıcı oldu; her ölçekten ve çeşitli sektörlerden (bankalar, hastaneler ve ulaştırma dahil) şirketlerin BT altyapıları (neredeyse) tamamen felç oldu. On binlerce kuruluş etkilendi ve operasyonların zorla askıya alınması nedeniyle olaydan sonraki ilk birkaç saat içinde bile milyonlarca dolarlık ekonomik kayıplar yaşandığı tahmin ediliyor. Avrupa'dan ABD'ye kadar, acil durumlara hizmet veren 112 acil çağrı hattında da sorunlar yaşanırken, ardı ardına hizmet kesintileri yaşandı ve felaketin en sembolik görüntüleri arasında havalimanlarındaki biniş kapıları ve check-in kontuarlarında oluşan uzun kuyruklar yer aldı.

En başından beri, birçok teknoloji medya kuruluşu, kamuoyunun "bilmediği" veya neredeyse bilmediği bir faktörü, hatta çarpıcı bir şekilde vurguladı: Modern dijital altyapıların birkaç siber güvenlik sağlayıcısına aşırı bağımlılığı (Crodstrike, bir yıl önce bu sektördeki pazar değerinin yaklaşık %15'ine sahipti). Sonuçta, Teksaslı şirketin tehdit izleme yazılımını etkileyen kadar yaygın bir güvenlik açığı, 2003'teki WannaCry fidye yazılımı gibi çok nadiren meydana geldi. Ancak bu iki olayın aksine, çökme siber suçlular tarafından dağıtılan kötü amaçlı kodlar tarafından değil, uç nokta sistemlerine (dizüstü bilgisayarlar, sunucular ve yönlendiriciler) derinlemesine erişim sağlayarak bir tehlikeye işaret edebilecek kötü amaçlı yazılımları ve şüpheli etkinlikleri tespit eden bir antivirüs platformu tarafından tetiklendi. Ancak, sisteme yüklenen herhangi bir kötü amaçlı programdan (saldırganların kötü amaçlı kod eklemeye çalışabileceği alanlara erişerek) önce güvenlik yazılımlarının müdahale etmesi için gereken sürekli, kapsamlı ve son derece hassas erişim, yazılımın kendisinin ve güncellemelerinin tüm BT mimarisini çökertebilme olasılığını artırır. Ve tam da bir yıl önce 19 Temmuz'da olan buydu. Crowdstrike CEO'su George Kurtz, arızanın yazılım kodundaki bir "kusurdan" kaynaklandığını kamuoyuna açıklayarak, bir siber saldırı olasılığını ortadan kaldırdı ve şirketin ürünlerinden biri olan Falcon'daki bir hatadan (bir "mantık hatası" olarak sınıflandırılmıştı) kaynaklanan bir güncelleme olduğunu doğruladı. Microsoft ise yaptığı açıklamada, "yazılım güncellemesinin dünya çapında çok sayıda bilgisayar sisteminin bozulmasından sorumlu olduğunu" yinelerken, Crowdstrike'ın sistemlerinde gerçekleştirdiği güncellemelerin şirketin gözetiminde olmadığını kabul etti.

CrowdStrike'ın soruna yanıtı, felaketin boyutu göz önüne alındığında müşteri şirketlerle başlangıçta parçalı iletişim nedeniyle sekteye uğramasına rağmen, anında gerçekleşti. Bu durum, hasarı azaltmak için düzeltme güncellemelerinin saatler içinde yayınlanmasını sağladı. Olay, beklenebileceği gibi, önemli bir siber güvenlik sorunu olan yazılım güncelleme testleri ve yayın metodolojileri hakkında yoğun tartışmalara kapı araladı. Çeşitli uzmanlara göre, on iki ay önceki olay, BT altyapısının bu kadar derin bir seviyesinde çalışan koruma sistemlerinde yapılan herhangi bir değişikliğin, işlevselliğini tehlikeye atma potansiyeli nedeniyle aşırı hassasiyeti açıkça ortaya koydu. Daha sağlam hazırlama ortamlarına (yeni bir web sitesini veya yazılım güncellemelerini test etmek için korumalı dijital alanlar) ve daha etkili geri alma stratejilerine (istenmeyen bir işlemden sonra bir sistemin veya uygulamanın nasıl geri yükleneceğini tanımlayan planlar) duyulan ihtiyaç, anlaşılabilir bir şekilde tartışmasız bir öncelik statüsüne yükseldi ve birçok şirketi iç süreçlerini yeniden incelemeye itti. Ancak, bu tür sorunları kökten çözecek bir "ders çıkarmak" zor, çünkü özellikle her sektörü ve sektörü etkileyen devam eden dijitalleşme ve bağlantı sorunları göz önüne alındığında, benzer BT arızaları yaşanmaya devam edecek. Birçok kişi hâlâ CrowdStrike'ın bu olayın patlak vermesini önleyebileceğine inanıyor, ancak Falcon programı daha önce hiç sorun yaşamamıştı ve hatalı güncelleme dağıtımı yalnızca yaklaşık bir buçuk saat sürdü; bu da dünya genelinde milyonlarca bilgisayarı devre dışı bırakmaya yetecek bir süre. Bazıları, "Kara Pazartesi"den sadece birkaç saat sonra, güncellemelerin kademeli olarak veya hatta manuel onay sonrasında bile uygulanabileceğini vurguladı. Ancak, ortaya çıkan güvenlik açıklarına ve tehditlere (özellikle WannaCry gibi yüksek etkili kötü amaçlı yazılımları düşünün) hızlı yanıt verme ihtiyacı, bu uygulamayı giderek daha az rutin hale getirdi. Crowdstrike gibi harici bir ortağa Windows çekirdeğine (genellikle tüm sistem üzerinde tam kontrole sahip olan işletim sisteminin çekirdek programı) erişim izni verme konusu da tartışma konusu oldu. Ancak Microsoft, söz konusu yetkilendirmenin aslında Brüksel'in Redmond'un o dönemde Internet Explorer ile web tarayıcıları alanında tekel konumuna gelmesine karşı aldığı önlemler kapsamında 2009 yılında Avrupa Komisyonu ile varılan bir anlaşmanın sonucu olduğunu belirtti.

Bir yıl sonra, CrowdStrike hatasının sonuçları hâlâ kısmen gözle görülür durumda; zira BT altyapısı dayanıklılığı konusu CIO'lar ve kurumsal yönetim için hâlâ önemli bir endişe kaynağı olmaya devam ediyor. Son aylarda, şirketler arasında siber güvenlik konusunda yenilenen farkındalığın etkileri, örneğin tehlikeli "tek noktadan arıza"ları önlemek için güvenlik sağlayıcılarının hedefli bir şekilde çeşitlendirilmesine dayanan çok tedarikçili bir yaklaşıma doğru artan bir eğilimde görüldü. Aynı zamanda, felaket kurtarma ve iş sürekliliği planlarına yapılan yatırımlar arttı ve harici hizmetlerde kritik kesintiler durumunda bile operasyonları sürdürme becerisine daha fazla odaklanıldı. Olayın kendine özgü doğası göz önüne alındığında, sektör profesyonellerinin dikkati yazılım sürümlerinin sağlamlığına ve öngörülebilirliğine de kaymış ve bu da daha sıkı test standartlarına ve yazılım güncellemeleri için çok daha katı doğrulama ve sürüm süreçlerine olan ihtiyacın altını çizmiştir. CrowdStrike'ın da dahil olduğu tüm teknoloji sektörünü birleştiren plan, dışarıdan kaynaklanmayan hataları, tek bir kez bile olsa, yakalayıp önleyebilecek kadar akıllı, giderek daha güçlü bir dijital altyapı oluşturmaktır.