CrowdStrike BSoD, què ha passat i com puc estar preparat?
CrowdStrike Falcon
CrowdStrike és una empresa líder en seguretat a escala mundial, i el fabricant d'una de les plataformes de protecció contra malware més venudes al món. La seva plataforma CrowdStrike Falcon està especialment dissenyada per aturar les violacions de seguretat utilitzant un conjunt unificat de tecnologies proporcionades en el núvol des del seu servei CrowdStrike Security Cloud. Aquesta plataforma inclou, entre altres mòduls, un antivirus de nova generació (NGAV) que disposa de tecnologia d'aprenentatge automàtic per detectar i prevenir ciberatacs. CrowdStrike conté diversos mòduls de productes que cobreixen múltiples aspectes com ara la intel·ligència d'amenaces, detecció, protecció i remediació automàtica, etc., però per a més comoditat es desplega en sistemes Windows utilitzant un únic agent, conegut com CrowdStrike Falcon Sensor.
El 19 de juliol de 2024 a les 04:09 UTC, com a part de les operacions rutinàries, CrowdStrike va publicar una actualització de configuració de CrowdStrike Falcon Sensor per a sistemes Windows. Les actualitzacions de configuració dels sensors formen part dels mecanismes de protecció de la plataforma Falcon. Aquesta actualització de configuració va desencadenar un error lògic que va provocar que el sistema es bloquegés i una pantalla blava (BSoD) en els sistemes Windows afectats.
Informe preliminar de l'incident aquí: Falcon Content Update Preliminary Post Incident Report | CrowdStrike
Aquí trobaràs una anàlisi detallada: Windows Security best practices for integrating and managing security tools
BSoD
El terme “Blue Screen of Death” o BSoD és un terme familiar que fa referència a la pantalla blava que resulta d'una fallada catastròfica del sistema operatiu Windows. Aquests errors poden causar-los una gran varietat de problemes de maquinari i programari. La pantalla blava apareix quan el sistema Windows necessita ajuda per recuperar-se d'un error del qual no ha pogut fer-ho pel seu compte. Quan veiem aquesta pantalla blava, el sistema Windows no s'està executant i, per tant, tots els mitjans habituals de recuperació remota basats en aplicacions de Windows són inútils. Tot i que Microsoft proporciona instruccions sobre com un usuari pot recuperar el seu ordinador a un estat abans que es produeixi l'avaria, normalment en un entorn corporatiu això és responsabilitat del departament de sistemes, que ha d'accedir físicament a l'ordinador per inicialitzar-lo en mode segur, diagnosticar l'avaria i reparar el sistema Windows. Lògicament, aquest és un procediment que només és raonable quan un sol ordinador o només uns quants ordinadors han fallat simultàniament.
Recuperació de desastres
El concepte de recuperació de desastres (“Disaster Recovery”) es refereix al procés de recuperació davant una contingència massiva (un desastre), i sol incloure protocols d'actuació per recuperar funcions i dades dels sistemes afectats en el menor temps possible. Les contingències previstes en els plans de recuperació solen incloure elements naturals com ara incendis o terratrèmols, accidentals com ara la pèrdua de subministrament elèctric, o elements provocats com ciberatacs.
Les conseqüències de la interrupció dels sistemes crítics d'una empresa poden variar en funció de diversos factors, però sempre inclouen pèrdues econòmiques derivades de la inactivitat total o parcial de l'empresa durant un període determinat i/o de la impossibilitat de recuperar dades crítiques empresarials.
En el cas de la situació provocada per l'incident de CrowdStrike, la majoria de protocols de recuperació van ser incapaços de gestionar adequadament la recuperació de milers de sistemes Windows afectats, perquè l'aparició simultània d'aquests BSoD no és una circumstància habitual. Depenent de l'arquitectura informàtica de cada empresa, el nivell d'impacte del negoci pot haver anat des d'un inconvenient fins a un esdeveniment catastròfic.
L'eina de la qual mancaven les corporacions més afectades és una plataforma de recuperació remota i massiva d'ordinadors Windows en estat BSoD, com la solució resQit de GMV. Aquesta solució s'utilitza sovint com a eina per millorar l'eficiència en les recuperacions ordinàries de sistemes Windows que fallen, mitjançant l'habilitació d'un mecanisme remot que sovint és important en els entorns distribuïts i de teletreball actuals. Tanmateix, en el cas d'un incident massiu com el que es va produir en el cas de CrowdStrike, aquesta plataforma pot estalviar centenars de milers o fins i tot milions d'euros en permetre un escenari de recuperació en un temps mínim que no és viable sense una eina d'aquesta naturalesa.
El 19 de juliol, una configuració defectuosa de l'agent CrowdStrike Falcon va deixar milers de sistemes Windows completament inoperatius.
Vols saber què va passar?
I el més important, vols saber com podries haver recuperat fàcilment tots els teus sistemes Windows de manera remota?