Sự cố IT của CrowdStrike đã làm rõ tại sao sự lanh thổ mạng cần quan trọng. Tham gia các bản tin hàng ngày và hàng tuần của chúng tôi để cập nhật thông tin mới nhất và nội dung độc quyền về ứng dụng AI hàng đầu trong ngành công nghiệp. #CrowdStrike #cyberresilience #outage
Một cập nhật nội dung được cấu hình sai do CrowdStrike phát hành vào ngày thứ Năm đã gây ra sự cố trên toàn cầu trên các hệ thống Microsoft Windows, khiến cho nhiều dịch vụ quan trọng nhất trên thế giới ngưng hoạt động. CrowdStrike đang cố gắng cập nhật nội dung mà Falcon Sensor của họ sử dụng để thực hiện phát hiện mối đe doạ và bảo vệ điểm cuối trực tiếp bằng cách theo dõi các hoạt động hệ thống nhận biết hành vi đáng ngờ để ngăn chặn các cuộc tấn công mạng. Cập nhật nội dung chứa mã logic được thiết kế để điều chỉnh việc phát hiện các hoạt động độc hại và dựa trên thông tin đe dọa mới nhất mà CrowdStrike thu thập liên tục và trực tiếp.
Sự cố được phát hiện đầu tiên tại Úc, khi các máy Windows gặp sự cố và hiển thị Màn hình Xanh (BSOD). Cập nhật lỗi đã kích hoạt một “tắt sáng” toàn cầu trên hệ thống Windows, tác động đến nhiều sân bay, hãng hàng không, tổ chức ngân hàng và dịch vụ mà tất cả chúng đều phụ thuộc vào các hệ thống dựa trên Windows để vận hành doanh nghiệp của họ. Hàng trăm nghìn hành khách bị kẹt tại sân bay trên toàn thế giới. Khoảng 2600 chuyến bay ở Mỹ đã bị hủy vào chiều thứ Sáu, và hơn 4200 chuyến bay đã bị hủy trên toàn cầu dựa trên dữ liệu từ FlightAware như báo cáo của Wall Street Journal.
Tác động của sự cố IT cũng lan rộng sang nền tảng đám mây của Microsoft Azure. Khách hàng Azure phàn nàn rằng họ “gặp sự không đáng tin cậy và khởi động bị thất bại trên các máy chạy Windows sử dụng agent Falcon của CrowdStrike, ảnh hưởng đến cả trên cơ sở và các nền tảng đám mây khác.” Trạng thái sức khỏe Azure cho thấy sự cố vẫn ảnh hưởng đến các máy ảo Azure trên bốn khu vực của Mỹ, châu Âu, châu Á-Thái Bình Dương và Trung Đông và châu Phi.
Các nhóm IT sẽ phải làm việc cả cuối tuần và một tháng Bảy khó khăn, khi nhiều cấu hình dựa trên đám mây sẽ yêu cầu cập nhật riêng cho từng khách hàng chạy hệ thống dựa trên đám mây. Cho phép nhóm IT nghỉ ngơi và, nếu có thể, trì hoãn bất kỳ dự án quy mô lớn nào cho đến khi việc cấu hình sai được giải quyết. Sự cố cần phải là cơ hội để khích lệ sự kiên cường mạng lưới mạng lớn hơn
Mức kiên cường mạng mạng mạng cao của một doanh nghiệp là mức độ dự đoán, chịu đựng và phục hồi từ nhiều điều kiện bất lợi khác nhau, bao gồm các cuộc tấn công, xâm nhập và tấn công. Thường thì thuộc về CISO để đạt được sự ổn định của mạng mạng lớn trong vai trò quan trọng của họ trong quản trị cấp cao và, ngày càng, trên các hội đồng quản trị. “Cuối cùng, mọi doanh nghiệp đều gặp khó khăn về chu kỳ vá lổ. Hôm nay là một ngày xấu xí của CrowdStrike và trở thành ngày xấu xí đối với nhiều người. Sự thật là CrowdStrike yêu cầu khách hàng cuối phải làm việc để giảm thiểu thời gian để phản ứng và thời gian để khắc phục đã gây ra vấn đề hơn để giải quyết và khắc phục,” Merritt Baer, CISO tại Reco và cố vấn cho Expanso, Andesite và EnkryptAI cho biết với VentureBeat. CoTrustwave CISO Kory Daniels gần đây nói rằng “hội đồng quản trị đã bắt đầu hỏi câu hỏi: Có cần phải có một chief resilience officer có tên chính thức không?” VentureBeat đã biết rằng nhiều hội đồng quản trị đang thêm khả năng chống chọi mạng lưới mạng lưới rộng lớn vào các nhóm dự án quản lý rủi ro tổng thể của họ. Các cuộc tấn công ransomware nổi tiếng tạo ra sự hỗn loạn trên chuỗi cung ứng là một trong những sự cố tốn kém nhất mà bất kỳ doanh nghiệp nào phải chịu đựng, như là sự vi phạm của United Healthcare. Sự cố do cấu hình sai nhấn mạnh nhu cầu về một hình thức độc đáo của sự kiên cường mạng lưới mạng lưới mạng lưới được tích cực theo đuổi đến mức trở thành một phần cốt lõi của ADN của một công ty. Các cập nhật cài đặt sai sẽ tiếp tục gây ra tắt sáng toàn cầu
Điều này đi kèm với lãnh thổ của một thế giới liên tục, thời gian thực được định nghĩa bởi hệ thống phức tạp, tích hợp. “Tầm quan trọng là đáng kể nhưng nguồn cũng thế – ví dụ, Snowflake là do những cấu hình SaaS và SolarWinds là một cuộc tấn công chuỗi cung. Đây là nỗi đau bảo mật cổ điển,” Baer cho biết. Sự cố toàn cầu tuần này là cái nhìn vào cái mà một cuộc tấn công của quốc gia sẽ trông như thế nào nếu hệ thống an ninh mạng của quốc gia yếu hoặc không tồn tại. Để xem cái gì đang ở trong tầm ngã chân của việc đạt sự kiên cường mạng lưới mạng lưới quốc gia và phòng thủ mạng, hãy kiểm tra Báo cáo Đánh giá Mối đe doạ hàng năm 2024 của Cộng đồng Tình báo Hoa Kỳ. Sự kiên cường mạng lưới mạng lưới mạng lưới, phản ứng lại sự cố cấu hình sai, cần phải nhanh chóng xác định và xác định vấn đề, định ra một giải pháp (lý tưởng là ở quy mô có thể tự động hóa), và truyền thông quá mức với mỗi khách hàng và người bị ảnh hưởng. Việc đạt sự kiên cường mạng lưới mạng lưới nội bộ đúng cần được hỗ trợ bằng báo cáo chính xác, dễ tiếp cận cho mọi người, và càng thời gian thực càng tốt. Mục tiêu cần phải là cho mọi người liên quan đến cập nhật một cơ hội để sở hữu kết quả và biết thử nghiệm đảo ngược và kiểm tra trước yêu cầu trên các nền tảng đối tác đã hoàn thành. “Trước đây hôm nay, dịch vụ Falcon của CrowdStrike đã gặp một sự cố toàn cầu không may mà ảnh hưởng đến nhiều khách hàng sử dụng phần mềm trên hệ thống Windows. Hành động nhanh của nhóm phản ứng sự cố của CrowdStrike để xác định nguyên nhân cốt lõi và thông báo cho khách hàng nhanh chóng là đáng khen ngợi, và blog của CEO của họ trung thực và rõ ràng,” Paul Davis, CISO lĩnh vực tại JFrog, cho biết với VentureBeat. Kurtz tiếp tục đăng thông tin cập nhật trên các nền tảng truyền thông xã hội X và LinkedIn. Trong bài đăng gần nhất trên X dưới đây, anh cam kết cung cấp một phân tích nguyên nhân của cách sự cố đã xảy ra.
“Trong thế giới an ninh, người ta luôn phải sẵn lòng cho những điều không mong muốn và có một kế hoạch sự cố cho những sự kiện bất ngờ đó. Không có gì là phần mềm hoàn hảo. Cuối cùng, phần mềm được xây dựng bởi con người và làm lỗi là điều phổ biến nhất. Quan trọng nhất là sự nhanh chóng xác định và phục hồi từ vấn đề đó,” Davis nói với VentureBeat. Khôi phục hệ thống của bạn
Trước đây hôm nay, CrowdStrike đã đăng hướng dẫn trên trang web của mình để khôi phục các hệ thống bị ảnh hưởng bởi sự cố và tìm các hệ thống hoặc máy chủ bị ảnh hưởng bởi bản cập nhật cấu hình sai. Bạn sẽ cần khởi động máy ảnh bị ảnh hưởng ở chế độ an toàn đầu tiên. Bước này là cần thiết vì phần mềm Falcon Sensor, cần phải được cập nhật, được nhúng trong một thư mục con của hệ thống điều hành Windows. Khởi động vào chế độ an toàn là cần thiết để truy cập vào thư mục con này và thực hiện các cập nhật cần thiết. Nếu máy tính bị ảnh hưởng sử dụng BitLocker hoặc phần mềm mã hóa đĩa đầy đủ khác (FDE), bạn cần có khóa khôi phục cho mỗi máy. CrowdStrike khuyến nghị các bước sau trong bài đăng blog của họ chi tiết cách khôi phục máy bị ảnh hưởng: Nguồn: CrowdStrike, Tuyên bố về Cập nhật Nội dung Falcon cho Windows Hosts Updated 6:11 p.m. ET, 19 tháng 7 năm 2024. Sự chịu đựng mạng lưới là một biểu tượng cho niềm tin của khách hàng
“Các nhà cung cấp an ninh cần hiểu rằng họ đang giữ các kết quả của khách hàng trong tay. Tôi tưởng tượng rằng Crowdstrike sẽ không đẩy cập nhật theo cùng một cách trong tương lai,” Baer nói với VentureBeat. Sự cố toàn cầu tiếp tục gây ảnh hưởng đến hàng trăm nghìn cuộc sống của con người và buộc các doanh nghiệp phải đứng im. Từ sàn sản xuất của các nhà thiết kế phụ thuộc vào các hệ thống dựa trên đám mây để kết nối với khách hàng của họ đến các doanh nghiệp quy mô lớn với hàng ngàn đồng nghiệp không thể đăng nhập, trải nghiệm ngày hôm nay làm rõ rằng sự kiên cường mạng lưới không chỉ là một sáng kiến an ninh. Nó cần phải là một trong những cột trụ của trải nghiệm khách hàng. Kiếm và duy trì niềm tin của khách hàng phụ thuộc vào việc làm cho một doanh nghiệp chống chọi mạng lưới mạng lưới mạng lưới càng nhanh càng tốt. Sự cố là một sự kiện hấp dẫn mà mọi doanh nghiệp cần xem là một lò để đánh giá mức độ chuẩn bị của họ cho một sự kiện tương tự. Với các kết nối và tích hợp phức tạp giữa các hệ thống toàn cầu, sẽ có các sự cố trong tương lai. Mỗi doanh nghiệp phải chịu trách nhiệm về sự kiên cường mạng lưới mạng lưới và chọn lựa để vượt trội về nó bây giờ thay vì sau này. VB Hàng ngày Hãy ở biết! Nhận thông tin mới nhất trong hộp thư đến hàng ngày của bạn Đăng ký, bạn đồng ý với Điều khoản dịch vụ của VentureBeat. Cảm ơn bạn đã đăng ký. Xem thêm các bản tin của VB tại đây. Đã xảy ra lỗi.
Nguồn: https://venturebeat.com/ai/crowdstrikes-it-outage-makes-it-clear-why-cyber-resilience-matters/
Join our daily and weekly newsletters for the latest updates and exclusive content on industry-leading AI coverage. Learn More
A misconfigured content update released by CrowdStrike late on Thursday inadvertently triggered worldwide outages across Microsoft Windows systems, taking many of the world’s most essential services offline.
CrowdStrike was attempting to update content that their Falcon Sensor uses to perform real-time threat detection and endpoint protection by monitoring system activities that identify suspicious behavior to prevent cyber attacks. The content update contains logic designed to fine-tune the detection of malicious activities and is based on the latest threat intelligence CrowdStrike collects on a real-time, continuous basis.
“This was not a code update. This was actually an update to content. And what that means is there’s a single file that drives some additional logic on how we look for bad actors. And this logic was pushed out and caused an issue only in the Microsoft environment,” CrowdStrike CEO and founder George Kurtz told Jim Cramer during an interview on CNBC earlier today.
The outage was first spotted in Australia, with Windows machines crashing and displaying the Blue Screen of Death (BSOD). The faulty update triggered a Windows blackout worldwide, impacting dozens of airports, airlines, banking institutions, and service companies that all rely on Windows-based systems to operate their businesses. Hundreds of thousands of travelers are stranded in airports around the world. Approximately 2,600 U.S. flights had been canceled as of Friday afternoon, and more than 4,200 flights had been canceled globally based on FlightAware data as reported by the Wall Street Journal.
The effects of the IT outage also spread across the Microsoft Azure cloud platform. Azure customers complained that they were “experiencing unresponsiveness and startup failures on Windows machines using the CrowdStrike Falcon agent, affecting both on-premises and various cloud platforms.” Azure Health Status shows the outage still impacts Azure virtual machines across the four regions of America, Europe, Asia-Pacific, and the Middle East and Africa.
IT teams are in for a long weekend and a tough July, as many cloud-based configurations will require individualized updates for every customer running a cloud-based system. Give IT teams a break and, if possible, postpone any large-scale projects until the misconfiguration can be solved.
Outage needs to be a call to action for greater cyber resilience
The more cyber resilient a business is, the greater the ability to anticipate, withstand, and recover from a wide variety of adverse conditions, including attacks, intrusion and compromises. It’s often on CISOs to get cyber resilience right as a core part of their roles in senior management and, increasingly, on boards.
“Ultimately, every enterprise has challenges around patching cadence. Today is CrowdStrike’s bad day, and it became a bad day for a lot of folks. The fact that Crowdstrike required their end customers to do the work to ameliorate created more time to respond and time to remediate,” Merritt Baer, CISO at Reco and advisor to Expanso, Andesite and EnkryptAI told VentureBeat.
Trustwave CISO Kory Daniels recently said that “boards have begun asking the question: Is it important to have a formally titled chief resilience officer?” VentureBeat has learned that more boards of directors are adding cyber resilience to their broader risk management project teams. High-profile ransomware attacks that create chaos across supply chains are among the most costly for any business to withstand, as the United Healthcare breach makes clear.
Outages caused by misconfigurations highlight the need for a unique form of cyber resilience so actively pursued that it becomes a core part of a company’s DNA. Misconfigured updates will continue to cause global outages. That goes with the territory of an always-on, real-time world defined by intricate, integrated systems. “The scale is significant but the source is too— for example, Snowflake was due to SaaS misconfigurations, and SolarWinds was a Russian-backed supply chain attack. This is good old-fashioned security pain,” Baer said.
This week’s global outage is what a nation-state attack would look like if a nation’s cybersecurity was weak or didn’t exist. To get a glimpse into what’s at stake when it comes to national cyber resilience and cyber defense, check out the recently released 2024 Annual Threat Assessment of the U.S. Intelligence Community.
Cyber-resilience, in response to misconfigurations, needs to quickly identify and define issues, define a fix (ideally at a scale that can be automated), and over-communicate with every customer and person affected. Getting internal cyber resilience right needs to be supported with reporting that’s accurate, easily accessible to everyone, and as real-time as possible. The goal needs to be giving everyone involved in updates a chance to own the outcome and know regression testing and testing across partner platforms is complete.
“Earlier today, CrowdStrike’s Falcon service suffered an unfortunate global outage that affected many customers using the software on Windows systems. CrowdStrike’s incident response team’s speedy action to determine the root cause and notify customers quickly is commendable, and their CEO’s blog was honest and clear,” Paul Davis, Field CISO at JFrog, told VentureBeat.
Kurtz continues to post updates across social media platforms X and LinkedIn. In the most recent X post below, he commits to providing a root cause analysis of how the outage happened.
“In the world of security, one must always be prepared for the unexpected and have an incident plan for those surprise events. There is no such thing as perfect software. After all, software is built by humans, and to err is human. It’s how quickly you identify and recover from the problem that matters most,” Davis told VentureBeat.
You’ll need to start any affected machine in safe mode first. This step is necessary because the Falcon Sensor software, which needs updating, is embedded within a subdirectory of the Windows operating system. Booting into safe mode is essential to access this subdirectory and perform the necessary updates.
If the affected PC uses BitLocker or other full-disk encryption (FDE) software, you’ll need the recovery key for each machine. CrowdStrike recommends the following steps in their blog post detailing how to recover an affected machine:
Cyber resiliency is a proxy for customer trust
“Security vendors need to understand that they are holding customer outcomes in their hands. I imagine Crowdstrike won’t push updates in the same way in the future,” Baer told VentureBeat. The worldwide outage continues to disrupt hundreds of thousands of people’s lives and force businesses to a standstill. From the shop floors of designers who rely on cloud-based systems to connect with their customers to large-scale enterprises with thousands of colleagues unable to log in, today’s experiences make it clear that cyber resiliency is more than a security initiative. It needs to be a cornerstone of customer experience.
Earning and keeping the trust of customers hinges on making a business as cyber-resilient as possible. The outage is a compelling event every business needs to see as a crucible to evaluate how well prepared they are for a comparable event.
Given the complex integrations and connections between global systems, there will be future outages. Every business must take responsibility for cyber resilience and choose to excel at it now rather than later.
VB Daily
Stay in the know! Get the latest news in your inbox daily