Імовірно, багатьом підприємствам знадобляться дні або навіть тижні, щоб повністю відновитися після безпрецедентного збою комп’ютера в п’ятницю, попередили ІТ-експерти, після того, як помилкове оновлення програмного забезпечення від компанії, якій вони довіряли, щоб забезпечити безпеку їхніх систем, спричинило масштабний глобальний збій.
CrowdStrike, один із найбільших у світі постачальників засобів безпеки, звинуватив оновлення свого програмного забезпечення Falcon в помилці, через яку вийшли з ладу 8,5 мільйона комп’ютерів і серверів Windows, зупинилися літаки, затримувалися прийом до лікарні та вийшли з ладу мовники по всьому світу.
«На даний момент ми оцінюємо, що оновлення CrowdStrike торкнулося 8,5 мільйонів пристроїв Windows, або менше 1 відсотка всіх машин Windows», — заявила Microsoft у суботній публікації в блозі. «Хоча відсоток був невеликим, загальний економічний і соціальний вплив відображає використання CrowdStrike компаніями, які керують багатьма критично важливими послугами».
Авіаційна аналітична компанія Cirium повідомила в суботу, що авіакомпанії скасували ще 1848 рейсів, в основному до США, хоча також постраждали Австралія, Індія та Канада.
За словами аналітиків, збій був ще більш шокуючим, враховуючи сильну репутацію CrowdStrike як першої лінії захисту багатьох компаній від кібератак.
«Це перший випадок, коли широко розповсюджений агент безпеки, призначений для захисту машин, справді зламав їх», — сказав Ніл Макдональд, аналітик ІТ-консалтингової компанії Gartner.
Єдине рішення для користувачів Windows, які постраждали від помилки «синій екран смерті», полягає в тому, щоб перезавантажити комп’ютер і вручну видалити помилкове оновлення файлу CrowdStrike, для чого потрібен прямий доступ до кожного пристрою.
Це означає, що розгортання для компаній із тисячами машин Windows або дефіцитом ІТ-працівників для керування змінами може зайняти кілька днів або тижнів, кажуть експерти.
«Схоже, що мільйони комп’ютерів доведеться ремонтувати вручну», — сказав Мікко Гіппьонен, головний дослідник WithSecure, компанії з кібербезпеки.
«Найважливіші машини, як-от ноутбук генерального директора, уже відремонтовано, але для середньостатистичного фінансового працівника мине деякий час, перш ніж хтось прийде полагодити ваш ноутбук».
Вплив цієї помилки ускладнюється великим масштабом і гучним характером багатьох користувачів CrowdStrike.
Компанія, що базується в Остіні, штат Техас, заявила, що на кінець 2023 року мала понад 29 000 бізнес-клієнтів, і стверджувала в маркетингових матеріалах, що її програмним забезпеченням користується більше половини зі списку Fortune 500.
«Незважаючи на [CrowdStrike] Будучи насправді досить великою компанією, ідея про те, що вона закриє світ, є незвичайною», — сказав Маршалл Люкс, запрошений науковий співробітник Школи бізнесу Макдоно при Джорджтаунському університеті.
Глобальний ефект хвилі ілюструє «взаємозв’язок усіх цих речей» і «ризик концентрації на цьому ринку», додав Люкс.
Постачальники програмного забезпечення «очевидно стали настільки великими та настільки взаємопов’язаними», що їхні невдачі можуть завдати шкоди глобальній фінансовій системі, написала аналітик Citi Фатіма Булані у записці для клієнтів. Це може вимагати більшого політичного та регуляторного контролю.
За оцінками Gartner, частка доходу CrowdStrike на глобальному ринку корпоративної безпеки кінцевих точок, яка включає сканування комп’ютерів, телефонів та інших пристроїв на предмет кібератак, більш ніж удвічі перевищує частку його трьох найближчих конкурентів: Trellix, Trend Micro і Sophos. Тільки Microsoft більший.
Під час останньої телефонної розмови CrowdStrike у червні генеральний директор Джордж Куртц сказав, що після серії резонансних кіберінцидентів, що вплинули на гігант Microsoft, існує «широка криза довіри серед відділів безпеки та інформаційних технологій у клієнтській базі Microsoft».
CrowdStrike, яка була заснована в 2011 році, заявила, що побачила сплеск попиту після того, як на початку цього року Microsoft заявила, що її системи були зламані хакерами, які фінансуються державою.
У травні він випустив продукт, призначений для роботи разом із власним антивірусним інструментом Microsoft Defender.
У п’ятницю, коли Курц вибачився перед клієнтами CrowdStrike, він підкреслив, що інцидент «не був кібератакою», і наполягав на тому, щоб клієнти CrowdStrike «залишалися повністю захищеними».
Але дослідники безпеки попередили, що шахраї можуть скористатися хаосом, щоб видати себе за агентів Microsoft або CrowdStrike для фішингу.
«Ми бачимо, що це відбувається з кожним великим кіберінцидентом, який потрапляє в новини», — сказав Василіос Карагіаннопулос, доцент кафедри кіберзлочинності та кібербезпеки в Університеті Портсмута.
Компанія з кібербезпеки Secureworks заявила, що її дослідники помітили кілька нових реєстрацій доменів на тему CrowdStrike протягом кількох годин після інциденту, ймовірно, злочинцями, які мали на меті обдурити клієнтів компанії.
За словами Ієна Баттена, викладача Школи комп’ютерних наук Бірмінгемського університету, уникнути помилки, яка спричинила збій у п’ятницю, було «питанням тестування». У цьому випадку схоже, що хтось просто «помилився кодом», додав він.
Такі компанії, як CrowdStrike, перебувають під тиском, щоб якнайшвидше випустити нові оновлення системи безпеки для захисту від останніх кібератак.
«Тут існує компроміс між швидкістю забезпечення захисту систем від нових загроз і належною обачністю, яка проводиться для захисту стійкості системи та запобігання подібним речам», — сказав Адам Леон Сміт, партнер British Computer. Суспільство, ІТ-професійна організація.
За його словами, пошкодження, завдані помилковим оновленням програмного забезпечення цього тижня, «можуть зайняти дні й тижні».
&w=120&resize=120,86&ssl=1)
