Potezi Crowdstrike nakon incidenta u srpnju 2024.
U srpnju 2024., Crowdstrike je iskusio ozbiljan incident kada su milijuni Windows računala pala zbog neispravne softverske nadogradnje za njihov softver za zaštitu krajnjih točaka. Nakon ovog događaja, viši potpredsjednik za operacije suprotstavljanja protivnicima, Adam Meyers, svjedočio je na saslušanju pododbora za kibernetičku sigurnost u Zastupničkom domu SAD-a. Tamo je izjavio da je kompanija “duboko žalosna” zbog problema. Važno je napomenuti da CEO George Kurtz nije bio prisutan, jer je, prema informacijama iz The Registera, odbio svjedočiti.
Opis incidenta
Meyers je zakonodavcima objasnio da je kompanija svakodnevno objavljivala između 10 i 12 sadržajnih ažuriranja, od kojih je jedno prouzročilo ovu ozbiljnu situaciju. U svom pisanom svjedočenju (PDF), opisao je “savršenu oluju problema” koja je dovela do kolapsa IT sustava širom svijeta, zahtijevajući ručno ispravljanje. Ispričao je da su ova ažuriranja sada pod povećanim nadzorom radi osiguravanja kvalitete, ali zakonodavci i dalje sumnjaju u potrebu za pristupom na razini kernela, što je omogućilo incident.
Argumenti za pristup na razini kernela
Meyers naglašava kako je proziran uvid u sve aspekte operativnog sustava ključan za pravilno funkcioniranje Crowdstrikea. “Možete provesti sankcije, drugim riječima, prevenciju prijetnji i osigurati zaštitu od manipulacija,” rekao je, ističući da je manipulacija na razini kernela bila uzrok ransomware napada na računarske sustave MGM Resort International koji su vezani uz njihove kockarnice i hoteli.
Iako su se ovi napadi dogodili (iako nije jasno koje su konkretne mjere kibernetičke sigurnosti MGM Resorts imali na snazi), Meyers nastavlja zalagati za pristup na razini kernela, tvrdeći da je grupa zlonamjernih aktera, “Scattered Spider”, “koristila nove tehnike za podizanje svojih privilegija kako bi redovito onemogućila sigurnosne alate.” “Kako bismo to spriječili,” rekao je, “nastavit ćemo koristiti arhitekturu operativnog sustava.”
Reakcije i budućnost kibernetičke sigurnosti
Iako se čini da se ništa nije promijenilo, stručnjaci za sigurnost iz drugih kompanija za kibernetičku sigurnost ističu da problem nije u pristupu na razini kernela, već u njegovom upravljanju. The Register napominje da Trellix provodi ažuriranja na razini kernela samo jednom tromjesečno. S obzirom na ozbiljnost štete na vitalnoj infrastrukturi sustava, uključujući otkazane Delta letove koji su utjecali na pola milijuna ljudi, nije iznenađujuće što Microsoft planira osigurati dodatne sigurnosne mogućnosti izvan načina rada na razini kernela u budućnosti.
Zaključak
Incident u Crowdstroiku je otvorio važna pitanja o pristupu i upravljanju sigurnosnim mjerama na razini kernela. Dok su zakonodavci skeptični prema potrebi neke funkcionalnosti, povjesničari kibernetičkih prijetnji naglašavaju da izazov leži u načinu upravljanja tim pristupom. U nastavku, svi se suočavamo s potrebom za poboljšanjem sigurnosnih protokola kako bismo zaštitili vitalne informatičke sustave.
