Dziś CrowdStrike uznawany jest za pionierską firmę rewolucjonizującą świat cyberbezpieczeństwa. Założona w Austin w Teksasie w 2011 roku przez George’a Kurtza, Dmitry’ego Alberovicha i Grega Marsdena, ta amerykańska firma szybko zyskała czołową pozycję w walce z cyberzagrożeniami. Znane oprogramowanie firmy „Falcon Sensor” wyróżnia się możliwością natychmiastowego wykrywania zagrożeń cybernetycznych.
Dzięki dotychczasowemu sukcesowi firma stała się preferowanym partnerem wielu dużych korporacji i agencji rządowych na całym świecie w zakresie bezpieczeństwa. CrowdStrike, którego kapitalizacja rynkowa wynosi 90 miliardów dolarów na dzień 16 lipca 2024 r., to Palo Alto Networks Inc. działająca w branży cyberbezpieczeństwa. Jest drugą co do wielkości firmą na świecie. Tak naprawdę ta firma, która nie ma długiej historii, od początku swojego istnienia stale się rozwija, oferując zawsze innowacyjne rozwiązania.
Co się stało: niepoprawna aktualizacja
CrowdStrike, znany jako bastion świata technologii, doznał niespodziewanego ciosu w połowie lipca. Tysiące użytkowników Windowsa korzysta z oprogramowania Falcon Sensor zintegrowanego z MicrosoftemNiebieski ekran„Wystąpił błąd”.Wygląda na to, że system Windows nie załadował się prawidłowo„Przyczyną tego błędu jest aktualizacja oprogramowania CrowdStrike. CrowdStrike wkrótce wydał łatkę i poprosił swoich użytkowników o aktualizację oprogramowania w celu rozwiązania problemu.
Swoją drogą zaskakujące było, że taki incydent przydarzył się takiemu gigantowi jak CrowdStrike. W końcu ta firma jest jednym z najlepszych twórców systemów bezpieczeństwa na świecie. W rezultacie incydent miał negatywny wpływ na wiele publicznych i prywatnych firm na całym świecie korzystających z oprogramowania CrowdStrike.
Incydent miał ogromny wpływ na świat cyberbezpieczeństwa. „Zastanawiam się, czy żaden system nie jest całkowicie bezpieczny?” Pytanie zaczęło pojawiać się w głowach wszystkich. Naturalnie eksperci wezwali firmy do przeglądu swoich strategii bezpieczeństwa i aktualizacji po tym incydencie.
Rzeczywiście, ta negatywna sytuacja po raz kolejny pokazała, że oprogramowanie zabezpieczające nie jest doskonałe i jak ważny jest czynnik ludzki.
Gdzie więc jest błąd?
W tym incydencie, którego doświadczył CrowdStrike, czynnikiem decydującym okazał się błąd ludzki. Niezależnie od tego, jak wyrafinowane i zaawansowane są systemy cyberbezpieczeństwa, skuteczność tych systemów jest wprost proporcjonalna do umiejętności i uwagi osób, które nimi zarządzają i nadzorują. W tym przypadku utrzymujące się błędne konfiguracje, niekompletne kontrole i wadliwe procesy aktualizacji umożliwiły atakującym infiltrację systemów. W pewnym sensie błąd ten wynika z wady procesów i procedur organizacji.
Wchodząc w szczegóły, możemy powiedzieć, że przyczyną tego incydentu jest krytyczny błąd podczas aktualizacji zabezpieczeń. Ta aktualizacja zmieniła konfigurację systemu wykrywania zagrożeń. Dodatkowo efekty tych zmian zostały wdrożone bez odpowiednich testów. Wynikało to z nieprawidłowego sprawdzenia integracji pomiędzy firewallem a systemami wykrywania zagrożeń podczas aktualizacji. Dodatkowo niewykonanie niezbędnych testów i kontroli po aktualizacji spowodowało opóźnienia w wykryciu błędów i zakłócenie działania w każdej organizacji korzystającej z tego oprogramowania.
W efekcie niewykrycie tej sytuacji na czas spowodowało poważne problemy w skali globalnej, co było ogromnym ciosem dla reputacji CrowdStrike. Szczegółowe dochodzenia po incydencie, procesy bezpieczeństwa nie były regularnie przeglądane, aktualizacje nie były poddawane odpowiednim etapom testowania i walidacji, a także pominięto niektóre krytyczne kroki bezpieczeństwa. Sytuacja ta stała się konkretnym przykładem w świecie cyberbezpieczeństwa pokazującym, jak błąd ludzki może prowadzić do naruszeń bezpieczeństwa na dużą skalę.
Efekty i wnioski
Incydent, którego doświadczył CrowdStrike, głęboko dotknął nie tylko firmę, ale także firmy i organizacje jej globalnych klientów. Po pierwsze, reputacja firmy mocno ucierpiała. CrowdStrike, od lat lider cyberbezpieczeństwa i cieszący się zaufaniem marki, po tym incydencie stracił wiele na wartości w oczach swoich klientów. Naruszenie bezpieczeństwa szczególnie dotyka firmy działające w sektorach finansowym, opieki zdrowotnej, lotniczym i technologicznym. Organizacje dotknięte tym incydentem na ogół doświadczyły poważnych zakłóceń w swoich procesach operacyjnych.
Na przykład jedna instytucja finansowa odnotowała straty w wysokości około 100 milionów dolarów spowodowane utratą danych w wyniku ataku. W branży opieki zdrowotnej sieć szpitali stanęła w obliczu procesów sądowych o odszkodowanie na kwotę około 50 milionów dolarów po ataku, który doprowadził do kradzieży danych pacjentów. Firma działająca w branży technologicznej odnotowała spadek wartości rynkowej o 15 procent w wyniku kradzieży krytycznych, zastrzeżonych informacji.
Po tym incydencie wartość rynkowa CrowdStrike znacznie spadła. Akcje spółki spadły aż o 20 proc., co zaniepokoiło także jej inwestorów. W ciągu zaledwie kilku dni wartość rynkowa firmy zniknęła o około 15 miliardów dolarów. Czas pokaże długoterminowe skutki tego wydarzenia. Incydent po raz kolejny pokazał, że naruszenia bezpieczeństwa cybernetycznego mogą prowadzić nie tylko do strat finansowych, ale także do problemów wizerunkowych i prawnych.
Jak możemy zapobiec tym błędom w przyszłości?
Aby zapobiec ponownemu wystąpieniu takich incydentów, organizacje zajmujące się cyberbezpieczeństwem muszą wzmocnić swoją infrastrukturę techniczną i skuteczniej zarządzać czynnikiem ludzkim. Regularny przegląd i wzajemna weryfikacja procesów bezpieczeństwa i aktualizacji może odegrać kluczową rolę w zapobieganiu takim lukom.
Ponadto regularne szkolenia specjalistów ds. cyberbezpieczeństwa i aktualizowanie ich umiejętności może pomóc w ograniczeniu błędów ludzkich. Niezależnie od tego, jak zaawansowane są rozwiązania technologiczne, nie można zapominać, że w tym procesie równie ważni są ludzie, którzy nimi zarządzają, jak technologia.
Wzmocnienie czynnika ludzkiego
Niestety w świecie cyberbezpieczeństwa, gdzie czynnik ludzki jest uważany za słabe ogniwo, szkolenie i świadomość pracowników mają kluczowe znaczenie dla minimalizacji tych błędów. Specjaliści od cyberbezpieczeństwa mogą szybko i skutecznie ocenić stojące przed nimi zagrożenia, podejmując jednocześnie właściwe decyzje mające na celu ich wyeliminowanie. Jest oczywiste, że organizacje przyjmujące kulturę bezpieczeństwa i dbające o to, aby wszyscy pracownicy aktywnie uczestniczyli w tym procesie, mogą pomóc w wyeliminowaniu luk w bezpieczeństwie.
W procesie tym należy ulepszyć nie tylko wiedzę i umiejętności techniczne, ale także procesy decyzyjne. Pracownicy powinni być regularnie szkoleni w zakresie cyberbezpieczeństwa i upewniać się, że posiadają umiejętności radzenia sobie z bieżącymi zagrożeniami. Ponadto firmy mogą przyczynić się do usunięcia czynnika ludzkiego ze słabego ogniwa, tworząc kulturę bezpieczeństwa i angażując w ten proces swoich pracowników.
Wniosek: katastrofa jest lepsza niż tysiąc napiwków!
Ostatecznie incydent CrowdStrike to bardzo ważna lekcja, która odbija się echem w świecie cyberbezpieczeństwa. Ten incydent po raz kolejny udowodnił, że nie tylko technologia, ale także czynnik ludzki jest jednym z kamieni węgielnych cyberbezpieczeństwa. Uważam, że należy w tym procesie wzmacniać zarówno infrastrukturę techniczną, jak i efektywniej zarządzać czynnikiem ludzkim/szkolić go, aby zapobiec takim błędom w przyszłości.
Ponadto incydent ten stanowi ważne ostrzeżenie dla organizacji zajmujących się bezpieczeństwem cybernetycznym i ujawnia środki ostrożności, które należy podjąć, aby zapobiec takim lukom. Jeśli technologia i czynniki ludzkie nie będą zarządzane w sposób zrównoważony, nieuniknione jest wystąpienie takich luk w świecie bezpieczeństwa cybernetycznego. Korzystne jest, aby rozwiązania technologiczne i dobrze wyposażony czynnik ludzki szły ramię w ramię w budowaniu silnych i niezawodnych ram bezpieczeństwa cybernetycznego.
Dowód
1. Podsumowanie pliku kanału 291 RCA Exec, https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/ (10.8.2024)
2. CrowdStrike ujawnia, co się stało, dlaczego i co się zmieniło, https://www.forbes.com/sites/kateoflahertyuk/2024/08/07/crowdstrike-reveals-what-happened-why-and-whats-changed/ (10.8.2024)
3. Co powoduje masowy krach CrowdStrike-Windows w 2024 r.? Historia zna odpowiedź https://www.zdnet.com/article/what-caused-the-great-crowdstrike-windows-meltdown-of-2024-history-has-the-answer/ (10.8.2024)
* Asystent naukowy/Uniwersytet Teksasu, San Antonio, Wydział Technologii Informacyjnych i Cyberbezpieczeństwa
„Profesjonalny guru sieci. Przyjazny odkrywca. Miłośnik jedzenia. Ogólny rozrabiaka. Miłośnik telewizji. Nieuleczalny fanatyk piwa”.