CrowdStrike, líder mundial en seguridad de punto finalrespuesta a incidentes y ciberseguridadimplementó recientemente una actualización de su sensor Falcon para microsoft Sistemas Windows. Esta actualización, diseñada para mejorar la detección de nuevas amenazas, provocó sin querer fallos importantes en el sistema operativo Windows. Sistema operativolo que provoca fallos generalizados e inestabilidad del sistema.
En particular, los sistemas operativos Mac y Linux no se vieron afectados por este problema.
Vicepresidente de cartera y estrategia de productos, instructor y autor en Infosec.
¿Qué pasó?
A pesar de las preocupaciones, es importante aclarar que este incidente no fue el resultado de un hack, seguridad incumplimiento o ataque malicioso. Aquí hay tres factores clave que llevaron al caos de CrowdStrike:
Actualización interna defectuosa: El problema se debió a un error de actualización interno y no a una manipulación externa.
Privilegios elevados: Como software de seguridad, CrowdStrike Falcon tiene altos privilegios y se integra con el kernel de Microsoft Windows.
Impacto global: El impacto fue particularmente severo porque el software de CrowdStrike está profundamente integrado en la infraestructura crítica de grandes corporaciones y agencias gubernamentales.
Esta integración, si bien es esencial para detectar y neutralizar amenazas de alto nivel, también significó que cuando se implementó la actualización defectuosa, provocó interrupciones inmediatas y generalizadas.
el impacto
CrowdStrike se utiliza ampliamente entre empresas y agencias gubernamentales estatales, locales y federales, por lo que la escala de la interrupción fue enorme. Delta Airlines, por ejemplo, ha contratado al abogado de alto perfil David Boise, ya que enfrentan pérdidas potenciales superiores a los 300 millones de dólares debido al incidente. Mientras que muchas otras organizaciones de tamaño similar se recuperaron en cuestión de horas, Delta experimentó interrupciones operativas prolongadas que duraron varios días, lo que provocó un debate en la industria sobre si la falla residía en la actualización de CrowdStrike o en el plan de recuperación y preparación de Delta.
Este incidente desencadenó lo que puede ser la mayor interrupción tecnológica registrada hasta la fecha, causada por una mala configuración o un error, con daños estimados que alcanzan los miles de millones, y esa cifra continúa aumentando. El polvillo radiactivo fue enorme, miles de vuelos retrasados o cancelados, deteniendo los sistemas de reservas en todo el mundo y provocando una cascada de perturbaciones globales. Al menos 8,5 millones computadoras se vieron afectados, lo que provocó un caos operativo sin precedentes
De hecho, es irónico que CrowdStrike, una empresa reconocida por su experiencia en respuesta a incidentes, se encontrara en el centro de un episodio tan significativo. Este evento subraya las complejidades y los desafíos que pueden enfrentar incluso las empresas más reconocidas, así como los planes de recuperación y la preparación para la respuesta.
La respuesta de CrowdStrike
Ante este incidente sin precedentes, CrowdStrike respondió con acciones rápidas y decisivas. La compañía implementó rápidamente una solución para abordar el problema y posteriormente emitió una declaración en la que describía una serie de compromisos destinados a evitar que se repitiera. Si bien la lista de acciones era exhaustiva y completa, gran parte de ella estaba alineada con las prácticas estándar existentes en la industria. Sin embargo, CrowdStrike se comprometió en particular a revisar sus procesos de implementación de actualizaciones, un cambio crítico que se espera mejore la confiabilidad y seguridad de futuras actualizaciones.
Observaciones y lecciones aprendidas
La interrupción de CrowdStrike sirve como recordatorio para que las organizaciones de todos los tamaños revisen sus procesos y se aseguren de que se implementen medidas para ayudar a mitigar el impacto de incidentes futuros. No solo tener un plan, sino también probar su funcionalidad.
Entre los pasos de acción que las organizaciones deben haber establecido se encuentran:
1. Garantice planes sólidos de respaldo y recuperación ante desastres: Parece simple, pero es crucial tener bien definido respaldocontinuidad del negocio y planes de recuperación ante desastres implementados. Igualmente importante es probar periódicamente estos planes mediante recorridos reales para garantizar que funcionen eficazmente cuando sea necesario.
2. Tenga cuidado con el software privilegiado: Cualquier software con acceso privilegiado a sus sistemas puede causar interrupciones importantes. Si bien este incidente no fue una violación de la seguridad, sirve como claro recordatorio de que incluso las herramientas de seguridad pueden introducir vulnerabilidades. Las herramientas de seguridad, como cualquier otro software, pueden ser una fuente de infracciones o tiempo de inactividad, como lo demuestra este incidente con CrowdStrike.
3. Mantenga una mayor vigilancia durante los cortes: Las interrupciones a gran escala crean una oportunidad atractiva para los atacantes. En medio del ruido y las interrupciones, los actores malintencionados pueden entrar fácilmente sin ser detectados y robar datos. Es esencial mantener una mayor conciencia de seguridad durante tales eventos para evitar la explotación oportunista.
4. Evite reacciones instintivas: Si bien el instinto puede ser cambiar de proveedor después de un incidente como este, es importante proceder con precaución. Los cambios rápidos y no planificados pueden generar problemas aún mayores. Cualquier transición a un nuevo proveedor debe abordarse como un proyecto por fases, no como un cambio de la noche a la mañana. Esto es especialmente crítico para las organizaciones que manejan datos confidenciales, como las involucradas en la seguridad nacional.
En conclusión, el incidente de CrowdStrike resalta la importancia de sistemas sólidos, una planificación cautelosa y la disposición para responder incluso a los desafíos más inesperados.
Esto se ha convertido en un recordatorio de que en el ámbito de la ciberseguridad, incluso los líderes en el campo no son inmunes a interrupciones significativas, ni son inmunes a causarlas, pero estar preparados para cuando esto pueda suceder puede ser la diferencia entre una resolución rápida y una pérdida. de negocios.
Hemos presentado el mejor servicio de gestión de infraestructura de TI.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarPro o Future plc. Si estás interesado en contribuir, descubre más aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
