Gergasi Cybersecurity CrowdStrike memohon maaf kerana “mengecewakan pelanggan” selepas kemas kini yang rosak pada sensor Falconnya melumpuhkan berjuta-juta PC pada 19 Julai.
Adam Meyers, Naib Presiden untuk operasi menentang musuh di CrowdStrike, hadir di hadapan jawatankuasa kongres AS pada 24 September untuk menjawab soalan tentang kesilapan yang menghempas kira-kira 8.5 juta komputer yang menjalankan Windows dan memaksa mereka memaparkan skrin biru kematian (BSOD) Microsoft yang terkenal.
Jawatankuasa Rumah AS mengenai Keselamatan Dalam Negeri telah meminta keterangan awam daripada Ketua Pegawai Eksekutif CrowdStrike George Kurtz pada 22 Julai.
Kurtz berjanji untuk berbuat demikian sebaik sahaja kejadian itu diselesaikan sepenuhnya, tetapi syarikat itu akhirnya memilih untuk menghantar Meyers sebaliknya.
Kesalahan CrowdStrike Falcon Sensor Dijelaskan
Di hadapan Kongres, Meyers berkata bahawa “ribut yang sempurna” adalah disebabkan oleh kemas kini yang mempunyai “ketakpadanan antara parameter input dan peraturan yang telah ditetapkan.”
“Pada 19 Julai 2024, konfigurasi pengesanan ancaman baharu telah disahkan melalui prosedur pengesahan biasa dan dihantar kepada penderia yang dijalankan pada peranti Microsoft Windows. Walau bagaimanapun, konfigurasi tidak difahami oleh enjin peraturan sensor Falcon, menyebabkan sensor terjejas tidak berfungsi sehingga konfigurasi bermasalah digantikan,” jelas Meyers.
Usaha CrowdStrike untuk But semula Sistem Terjejas
Meyers juga memberikan butiran tentang cara CrowdStrike membantu memulihkan sistem yang terjejas akibat gangguan.
Pada 22 Julai, syarikat itu memperkenalkan teknik automatik untuk mempercepatkan pemulihan.
Berikutan itu, kakitangan CrowdStrike telah dikerahkan untuk membantu pelanggan memulihkan sistem mereka.
Cabaran dengan gangguan ini ialah akses fizikal diperlukan kepada mesin yang terjejas untuk but semula.
“Sehingga 29 Julai, hampir semua sistem pelanggan kami telah dipulihkan dan berjalan,” Meyers mengesahkan.
CrowdStrike masih menghadapi beberapa tindakan undang-undang berikutan gangguan pada bulan Julai.
Ini termasuk daripada pemegang saham syarikat itu sendiri serta Delta Airlines.
Delta telah menuduh CrowdStrike “cuai” dan mendakwa telah kerugian $500 juta akibat gangguan itu, yang menyebabkan beribu-ribu pembatalan penerbangan.
Langkah CrowdStrike untuk Mencegah Insiden Serupa
Meyers berkongsi beberapa usaha CrowdStrike untuk memastikan kejadian sebegitu tidak akan berlaku lagi.
Penambahbaikan ini termasuk:
- Pengesahan: CrowdStrike telah memperkenalkan semakan pengesahan baharu untuk membantu memastikan bilangan input yang dijangkakan oleh penderia dan peraturan pratakrifnya sepadan dengan bilangan konfigurasi pengesanan ancaman yang sama yang disediakan
- Pengujian: Syarikat telah mempertingkatkan prosedur ujian sedia ada untuk merangkumi pelbagai senario yang lebih luas
- Kawalan Pelanggan: Pelanggan CrowdStrike kini mempunyai lebih kawalan ke atas penggunaan kemas kini konfigurasi pada sistem mereka
- Pelancaran: CrowdStrike kini menggunakan pendekatan berperingkat untuk melancarkan kemas kini pengesanan ancaman, yang bermaksud pelanggan tidak perlu melaksanakan kemas kini dengan segera
- Perlindungan: Syarikat telah menambah pemeriksaan masa jalan tambahan pada sistem, direka untuk memastikan bahawa data yang diberikan sepadan dengan jangkaan sistem sebelum sebarang pemprosesan berlaku
- Ulasan Pihak Ketiga: dua vendor keselamatan perisian pihak ketiga bebas telah diupah untuk menjalankan lebih lanjut kod sensor Falcon dan kawalan kualiti hujung ke hujung dan ulasan proses pelepasan
Akses Kernel Microsoft CrowdStrike Dibincangkan
Ahli Kongres bertanya kepada Meyers sama ada perisian seperti sensor CrowdStrike Falcon harus menikmati akses kernel Microsoft.
Akses kernel merujuk kepada keupayaan program atau proses perisian untuk berinteraksi secara langsung dengan kernel sistem pengendalian. Kernel ialah komponen teras sistem pengendalian, bertanggungjawab untuk mengurus sumber perkakasan, proses dan ingatan.
Walaupun kebanyakan aplikasi perisian beroperasi dalam ruang pengguna, beberapa aplikasi kritikal, termasuk antivirus, penyelesaian pengesanan dan tindak balas titik akhir (EDR) dan produk keselamatan lain, dipasang dalam kernel Microsoft.
Tahap akses ini diperlukan untuk banyak penyelesaian keselamatan siber untuk memantau dan melindungi sistem dengan berkesan. Walau bagaimanapun, ia juga menimbulkan kebimbangan tentang potensi ranap sistem sekiranya berlaku kerosakan dengan penyelesaian yang diberikan akses kernel.
Insiden CrowdStrike dilaporkan mendorong Microsoft untuk mempertimbangkan untuk memindahkan antivirus dan kemas kini pengesanan ancaman lain ke dalam mod pengguna untuk mengurangkan kemungkinan insiden yang ketara.
Walau bagaimanapun, Meyers berhujah menentang keputusan ini, mengatakan bahawa tanpa akses kernel, produk keselamatan CrowdStrike mungkin kurang berkesan.
Dia berhujah bahawa produk seperti Falcon mempunyai “keterlihatan kepada semua yang berlaku pada sistem pengendalian itu.” Ini membolehkan pencegahan ancaman dan membantu “memastikan anti-gangguan.”
Meyers menyebut bahawa Scattered Spider , kumpulan yang bertanggungjawab terhadap pencerobohan rangkaian kasino Las Vegas , sering menggunakan “teknik baharu untuk meningkatkan keistimewaan mereka untuk melumpuhkan alatan keselamatan secara tetap.”
Meyers menyatakan bahawa CrowdStrike akan “terus memanfaatkan seni bina sistem pengendalian.”