CrowdStrike Falcon

CrowdStrike to wiodąca globalna firma, zajmująca się bezpieczeństwem, i będąca twórcą jednej z najlepiej sprzedających się na świecie platform ochrony przed złośliwym oprogramowaniem.  Jej autorska platforma o nazwie CrowdStrike Falcon została zaprojektowana specjalnie do celów powstrzymywania naruszeń bezpieczeństwa poprzez ujednolicony zestaw technologii dostarczanych w chmurze w ramach usługi CrowdStrike Security Cloud. Zakres tej platformy obejmuje między innymi najnowocześniejszy program antywirusowy (NGAV) z technologią uczenia maszynowego do wykrywania i zapobiegania cyberatakom. CrowdStrike zawiera kilka modułów produktów obejmujących wiele aspektów, takich jak inteligencja zagrożeń, wykrywanie, automatyczna ochrona i korekcja itp., ale dla wygody jest wdrażany w systemach Windows za pośrednictwem jednego elementu, znanego pod nazwą CrowdStrike Falcon Sensor.

Dnia 19 lipca 2024 r. o godz.04:09 UTC, w ramach rutynowych operacji, CrowdStrike wydał aktualizację konfiguracji CrowdStrike Falcon Sensor dla systemów Windows. Aktualizacje konfiguracji czujników stanowią część składową mechanizmów ochrony platformy Falcon. Ta aktualizacja konfiguracji wywołała wystąpienie błędu logicznego, który spowodował awarię systemu i pojawienie się niebieskiego ekranu (BSoD) w dotkniętych rzeczoną awarią systemach Windows. 

Poniżej zamieszczamy wstępny raport z incydentu: Falcon Content Update Preliminary Post Incident Report | CrowdStrike

Szczegółową analizę można znaleźć tutaj: Windows Security best practices for integrating and managing security tools

BSoD

Termin „Blue Screen of Death" lub BSoD jest znanym pojęciem, które odnosi się do niebieskiego ekranu, pojawiającego się na skutek katastrofalnej awarii systemu operacyjnego Windows. Błędy te mogą być spowodowane różnymi problemami ze sprzętem i oprogramowaniem. Niebieski ekran pojawia się wówczas, gdy system Windows potrzebuje pomocy, aby móc wyjść z błędu, z którym nie był w stanie sobie poradzić samodzielnie. Kiedy ten niebieski ekran ukazuje się naszym oczom, system Windows nie jest uruchomiony, a zatem wszystkie standardowe sposoby zdalnego odzyskiwania oparte na aplikacjach Windows okazują się bezużyteczne. Chociaż Microsoft dostarcza instrukcje, w jaki sposób użytkownik może przywrócić swój komputer do stanu sprzed wystąpienia awarii, zwykle w środowisku korporacyjnym wchodzi to w zakres obowiązków działu systemów, który musi fizycznie uzyskać dostęp do komputera, aby zainicjować go w trybie awaryjnym i przystąpić do diagnozowania awarii i naprawy systemu Windows. Logicznie rzecz biorąc, jest to procedura, która znajduje uzasadnienie tylko wtedy, gdy pojedynczy komputer lub tylko kilka komputerów uległo awarii jednocześnie.

Odzyskiwanie po awarii

Koncepcja odzyskiwania po awarii („Disaster Recovery") odnosi się do procesu odzyskiwania systemu po masowej awarii (katastrofie) i zwykle obejmuje protokoły odzyskiwania funkcjonalności i danych z dotkniętych systemów w możliwie najkrótszym czasie. Objęte planami odzyskiwania danych sytuacje awaryjne obejmują zazwyczaj czynniki naturalne, takie jak pożary lub trzęsienia ziemi, przypadkowe, takie jak utrata zasilania, lub sprowokowane, takie jak cyberataki.

Konsekwencje zakłócenia działania krytycznych systemów firmy mogą być różne w zależności od rozmaitych czynników, ale zawsze obejmują straty ekonomiczne wynikające z całkowitego lub częściowego braku aktywności firmy przez pewien okres i/lub niemożności odzyskania krytycznych danych biznesowych.

W przypadku sytuacji spowodowanej incydentem CrowdStrike większość protokołów odzyskiwania danych nie była w stanie odpowiednio zarządzać odzyskiwaniem tysięcy dotkniętych systemów Windows, gdyż jednoczesne wystąpienie tych BSoD nie jest dającym się często zaobserwować zjawiskiem. W zależności od architektury IT każdej z firm, poziom zakłóceń w działalności mógł wahać się od drobnej niedogodności po katastrofę.

Narzędziem, którego brakowało najbardziej dotkniętym tym zajściem korporacjom, była platforma do zdalnego i masowego odzyskiwania komputerów z systemem Windows w stanie BSoD, taka jak rozwiązanie o nazwie resQit autorstwa firmy GMV. Rozwiązanie to jest często wykorzystywane jako narzędzie do poprawy wydajności rutynowego odzyskiwania uszkodzonych systemów Windows poprzez uruchomienie zdalnego mechanizmu, który odgrywa zazwyczaj istotną rolę w tak popularnych w dzisiejszych czasach środowiskach rozproszonych i pracy zdalnej. Niemniej jednak, w przypadku masowego incydentu, takiego jak CrowdStrike, platforma ta może zaoszczędzić setki tysięcy, a nawet miliony euro, umożliwiając wdrożenie scenariusza odzyskiwania danych w minimalnym czasie, który byłby niewykonalny bez istnienia takiego narzędzia.