CrowdStrike, el líder mundial en Seguridad de terminalesy respuesta a incidentes ciberseguridadpublicó recientemente una actualización de su sensor Falcon microsoft Sistemas Windows. Esta actualización fue diseñada para mejorar la detección de nuevas amenazas y, sin querer, ha causado fallas importantes en Windows. Sistema operativoEsto conduce a fallos generalizados e inestabilidad del sistema.
Vale la pena señalar que los sistemas operativos Mac y Linux no se ven afectados por este problema.
Vicepresidente de cartera y estrategia de productos, educador y autor en Infosec.
¿Qué pasó?
A pesar de las preocupaciones, es importante aclarar que este incidente no fue resultado de un hackeo; protección Incumplimiento o ataque malicioso. Aquí hay tres factores principales que llevaron al caos de CrowdStrike:
Actualización interna defectuosa: El problema se debe a un error de actualización interno y no a una manipulación externa.
Beneficios elevados: Como software de seguridad, CrowdStrike Falcon tiene muchos privilegios y se integra con el kernel de Microsoft Windows.
Impacto global: El impacto ha sido particularmente severo porque el software de CrowdStrike está profundamente integrado en la infraestructura crítica de grandes corporaciones y agencias gubernamentales.
Esta integración, si bien es esencial para detectar y neutralizar amenazas de alto nivel, también significó que cuando se implementó la actualización defectuosa, provocó una interrupción inmediata y generalizada.
Impacto
CrowdStrike se utiliza ampliamente entre empresas y agencias gubernamentales locales, estatales y federales, por lo que la escala de la interrupción ha sido enorme. Por ejemplo, Delta Air Lines ha contratado al destacado abogado David Boies, ya que enfrenta pérdidas potenciales superiores a los 300 millones de dólares debido al incidente. Mientras que muchas otras organizaciones de tamaño similar se recuperaron en cuestión de horas, Delta experimentó interrupciones operativas prolongadas que duraron varios días, lo que generó un debate en la industria sobre si la falla residía en la actualización de CrowdStrike o en el plan de recuperación y preparación de Delta.
Este incidente provocó lo que puede ser la interrupción tecnológica más grande hasta la fecha, debido a una mala configuración o un error, con daños estimados en miles de millones, y ese número continúa aumentando. el el cae Fue enorme, con miles de vuelos retrasados o cancelados, deteniendo los sistemas de reservas en todo el mundo y provocando una serie de perturbaciones globales. Al menos 8,5 millones Computadoras afectados, lo que lleva a un caos operativo sin precedentes
Es verdaderamente irónico que CrowdStrike, una empresa conocida por su experiencia en respuesta a incidentes, se encontrara en el centro de un incidente tan importante. Este evento destaca las complejidades y desafíos que pueden enfrentar incluso las empresas más conocidas, así como los planes de recuperación y la preparación para la respuesta.
Respuesta de CrowdStrike
Ante este incidente sin precedentes, CrowdStrike respondió con acciones rápidas y decisivas. La compañía rápidamente implementó una solución para abordar el problema y posteriormente emitió una declaración que describe una serie de compromisos destinados a evitar que vuelva a ocurrir. Aunque la lista de procedimientos era completa y exhaustiva, muchos de ellos eran consistentes con las prácticas estándar actuales de la industria. Sin embargo, CrowdStrike se ha comprometido específicamente a revisar los procesos de implementación de actualizaciones, un cambio crítico que se espera que mejore la confiabilidad e integridad de futuras actualizaciones.
Observaciones y lecciones aprendidas
La interrupción de CrowdStrike sirve como recordatorio para que todas las organizaciones de todos los tamaños revisen sus operaciones y se aseguren de tomar las medidas necesarias para ayudar a mitigar el impacto de incidentes futuros. No sólo existe un plan, sino que se prueba su funcionalidad.
Entre las medidas de acción que las organizaciones deberían implementar se encuentran las siguientes:
1. Asegúrese de que existan planes sólidos de respaldo y recuperación ante desastres: Puede parecer sencillo, pero es muy importante ser bien específico Respaldoy planes de continuidad del negocio y recuperación de desastres. También es importante probar periódicamente estos planes con pautas reales para garantizar que funcionen de manera efectiva cuando sea necesario.
2. Tenga cuidado con el software premium: Cualquier software con acceso privilegiado a sus sistemas tiene el potencial de causar interrupciones importantes. Aunque este incidente no fue una violación de la seguridad, sirve como claro recordatorio de que incluso las herramientas de seguridad pueden introducir vulnerabilidades. Las herramientas de seguridad, como cualquier otro software, pueden ser una fuente de infracciones o tiempo de inactividad, como lo demuestra este incidente con CrowdStrike.
3. Mantenga extrema vigilancia durante un corte de energía: Las interrupciones generalizadas crean una oportunidad atractiva para los atacantes. En medio del ruido y la agitación, los actores malintencionados pueden colarse fácilmente sin ser detectados y robar datos. Es esencial mantener un alto nivel de conciencia de seguridad durante tales eventos para evitar la explotación oportunista.
4. Evite reacciones instintivas: Si bien el instinto puede ser cambiar de proveedor después de un incidente como este, es importante proceder con precaución. Los cambios rápidos y no planificados pueden generar problemas mayores. Cualquier transición a un nuevo proveedor debe tratarse como un proyecto por fases, no como un cambio de un día para otro. Esto es especialmente crítico para las organizaciones que manejan datos confidenciales, como las involucradas en la seguridad nacional.
En conclusión, el incidente de CrowdStrike resalta la importancia de contar con sistemas sólidos, una planificación cuidadosa y estar preparado para responder incluso a los desafíos más inesperados.
Esto se ha convertido en un recordatorio de que en el ámbito de la ciberseguridad, incluso los líderes en el campo no son inmunes a grandes perturbaciones, ni tampoco a causarlas, pero estar preparados cuando tales perturbaciones puedan ocurrir podría marcar la diferencia entre una solución rápida y perder negocios.
Hemos ofrecido el mejor servicio de gestión de infraestructura TI.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro