BSoD CrowdStrike – co się wydarzyło i jak mogę się na taką ewentualność przygotować?

CrowdStrike Falcon

CrowdStrike to wiodąca globalna firma zajmująca się bezpieczeństwem, będąca twórcą jednej z najlepiej sprzedających się na świecie platform do ochrony przed złośliwym oprogramowaniem. Jej autorska platforma o nazwie CrowdStrike Falcon została zaprojektowana specjalnie do celów powstrzymywania naruszeń bezpieczeństwa poprzez ujednolicony zestaw technologii dostarczanych w chmurze w ramach usługi CrowdStrike Security Cloud. Zakres tej platformy obejmuje między innymi najnowocześniejszy program antywirusowy (NGAV), wykorzystujący technologię uczenia maszynowego do wykrywania cyberataków i zapobiegania im. Oprogramowanie CrowdStrike zawiera kilka modułów produktów obejmujących wiele aspektów, takich jak rozpoznawanie zagrożeń, wykrywanie, automatyczna ochrona i korekcja itp., ale dla wygody jest wdrażane w systemach Windows za pośrednictwem jednego elementu, znanego pod nazwą CrowdStrike Falcon Sensor.

Dnia 19 lipca 2024 r., o godz. 04:09 UTC, w ramach rutynowych operacji firma CrowdStrike wydała aktualizację konfiguracji CrowdStrike Falcon Sensor dla systemów Windows. Aktualizacje konfiguracji czujników stanowią część składową mechanizmów ochrony platformy Falcon. Ta aktualizacja konfiguracji wywołała wystąpienie błędu logicznego, który spowodował awarię systemu i pojawienie się niebieskiego ekranu (BSoD) w dotkniętych rzeczoną awarią systemach Windows. 

Poniżej zamieszczamy wstępny raport z incydentu: Falcon Content Update Preliminary Post Incident Report | CrowdStrike

Szczegółową analizę można znaleźć tutaj: Windows Security best practices for integrating and managing security tools

BSoD

Termin „Blue Screen of Death” lub BSoD jest znanym pojęciem, które odnosi się do niebieskiego ekranu pojawiającego się na skutek katastrofalnej awarii systemu operacyjnego Windows. Błędy te mogą być spowodowane różnymi problemami ze sprzętem i oprogramowaniem. Niebieski ekran pojawia się wówczas, gdy system Windows potrzebuje pomocy, aby móc wyjść z błędu, z którym nie był w stanie sobie poradzić samodzielnie. Kiedy ten niebieski ekran ukazuje się naszym oczom, system Windows nie jest uruchomiony, a zatem wszystkie standardowe sposoby zdalnego odzyskiwania oparte na aplikacjach Windows okazują się bezużyteczne. Chociaż Microsoft dostarcza instrukcje, w jaki sposób użytkownik może przywrócić swój komputer do stanu sprzed wystąpienia awarii, zwykle w środowisku korporacyjnym wchodzi to w zakres obowiązków działu ds. systemów, który musi fizycznie uzyskać dostęp do komputera, aby uruchomić go w trybie awaryjnym i przystąpić do diagnozowania awarii oraz naprawy systemu Windows. Logicznie rzecz biorąc, jest to procedura, która znajduje uzasadnienie tylko wtedy, gdy pojedynczy komputer lub tylko kilka komputerów uległo awarii jednocześnie.

Odzyskiwanie po awarii

Koncepcja odzyskiwania po awarii („Disaster Recovery”) odnosi się do procesu przywracania działania systemu po masowej awarii (katastrofie) i zwykle obejmuje protokoły odzyskiwania funkcjonalności i danych z dotkniętych awarią systemów w możliwie najkrótszym czasie. Objęte planami odzyskiwania danych sytuacje awaryjne obejmują zazwyczaj czynniki naturalne, takie jak pożary czy trzęsienia ziemi, przypadkowe, takie jak utrata zasilania, bądź sprowokowane, takie jak cyberataki.

Konsekwencje zakłócenia działania krytycznych systemów firmy mogą być różne w zależności od rozmaitych czynników, ale zawsze obejmują straty finansowe wynikające z całkowitego albo częściowego braku aktywności firmy przez pewien okres i/lub niemożności odzyskania krytycznych danych biznesowych.

W przypadku sytuacji spowodowanej incydentem CrowdStrike większość protokołów odzyskiwania danych nie była w stanie odpowiednio zarządzać przywracaniem działania tysięcy dotkniętych awarią systemów Windows, gdyż jednoczesne wystąpienie tych BSoD nie jest dającym się często zaobserwować zjawiskiem. W zależności od architektury IT każdej z firm poziom zakłóceń w działalności mógł wahać się od drobnej niedogodności po katastrofę.

Narzędziem, którego brakowało najbardziej dotkniętym tym zajściem korporacjom, była platforma do zdalnego i masowego przywracania działania komputerów z systemem Windows w stanie BSoD, taka jak rozwiązanie o nazwie resQit autorstwa GMV. Rozwiązanie to jest często wykorzystywane jako narzędzie do poprawy wydajności rutynowego przywracania działania uszkodzonych systemów Windows poprzez uruchomienie zdalnego mechanizmu, który odgrywa zazwyczaj istotną rolę w tak popularnych w dzisiejszych czasach środowiskach rozproszonych i pracy zdalnej. Niemniej jednak w przypadku incydentu masowego, takiego jak CrowdStrike, platforma ta jest w stanie pomóc zaoszczędzić setki tysięcy, a nawet miliony euro, umożliwiając wdrożenie scenariusza odzyskiwania danych w minimalnym czasie, co byłoby niewykonalne bez istnienia takiego narzędzia.