A super lapso do Windows causada por uma atualização incorreta do CrowdStrike: o que aprendemos #ÚltimasNotícias

Hoje, 19 de julho de 2024, será lembrado porquê uma “novidade” Black Friday da Web (a primeira foi 12 de maio de 2017, quando o mundo foi atingido pelo ransomware WannaCry) e, assim porquê da primeira vez, servirá porquê uma prelecção para entender a valia de adotar as boas práticas de segurança cibernética que, até 2024, deveriam ter se tornado a norma mas que, aparentemente, ainda são negligenciados: em primeiro lugar, é que atualizações automáticas nunca devem ser feitas em sistemas de produçãomas primeiro devem ser testados em sistemas de desenvolvimento.

De conciliação com especialistas, a moderno disrupção global da TI representa uma crise real: “Quando um fornecedor de serviços da enxovia de provimento do dedo é fingido, toda a enxovia pode entrar em colapso, causando perturbações em grande graduação”, disse ele. Chris DimitriadisDiretor de Estratégia Global da ISACA.

Um incidente de cibersegurança que, continua o perito, poderia ser definido porquê uma verdadeira pandemia do dedo: um ponto único de lapso que afeta milhões de vidas em todo o mundo.

A super lapso mundial do Windows: o que aconteceu

Já desde as primeiras horas da madrugada se multiplicaram os relatos de problemas gerais em sistemas Microsoft Windows.

Um mau funcionamento derrubou vários sistemas críticos, incluindo hospitais, bancos e aeroportos, com computadores Windows enfrentando a infame “tela azul da morte” (BSoD).

Em seguida uma estudo inicial do incidente, surgiram detalhes que chamam a atenção para o software de proteção de dispositivos (XDR) da empresa CrowdStrike.

CrowdStrike é uma empresa americana que se concentra na proteção de dispositivos usando uma plataforma de nuvem centralizada. É utilizado tanto por empresas finais porquê por prestadores de serviços para o fornecimento de serviços de segurança avançados.

A mesma empresa abriu uma página pública onde são relatados alguns detalhes.

O enviado de prelo confirma que o impacto está ligado unicamente aos sistemas operacionais Windows e garante aos seus clientes que não se trata de um ataque cibernético.

O site solene também afirma que seus clientes são mais de 29.0000 em todo o mundo. Levante número pode nos ajudar a entender a extensão do problema.

Alguns detalhes técnicos e impactantes

Pelo que surgiu até o momento e confirmado pela própria empresa, uma atualização do módulo de proteção Falcon gerou um comportamento inesperado nos sistemas operacionais Windows.

Infelizmente, o sintoma foi o mais impactante para usuários e empresas usuárias: o bloqueio totalidade do sistema e a impossibilidade de reiniciar o sistema operacional.

Em palavras simples, o bug no módulo de proteção avançada (Falcon XDR) não gerou um simples mau funcionamento, uma lentidão no desempenho, mas sim um verdadeiro bloqueio e indisponibilidade do sistema.

Além do enviado de prelo nos canais sociais e no portal de internet, a CrowdStrike atualizou os seus clientes através de um “Tech Alert” no portal devotado à gestão de problemas técnicos.

Nessas situações, o vista mais importante é ser capaz de identificar a razão subjacente do problema e logo trabalhar em uma verosímil solução escolha ou atualização para resolver definitivamente o bug.

Poucas horas depois do problema, o alerta técnico já continha as instruções técnicas para reiniciar os sistemas e retornar ao funcionamento normal.

Gostaria de ressaltar alguns aspectos:

1. As etapas descritas no procedimento exigem bom conhecimento técnico e credenciais de entrada administrativo lugar, normalmente não utilizadas na operação normal de dispositivos e sistemas.
2. Para dispositivos físicos (computadores utilizados pelos usuários, dispositivos presentes em escritórios remotos) leste procedimento não pode ser realizado remotamente, mas requer a presença de um técnico especializado no lugar.

Pelas considerações que acabamos de descrever, o tempo necessário para as empresas regressarem às operações normais não deve de forma alguma ser subestimado e provavelmente terá consequências durante vários dias, senão semanas.

Reflexões sobre o que aconteceu

A razão do problema, pelo que foi partilhado por vários interlocutores até à data, não parece estar ligada à Microsoft, mas sim à CrowdStrike. No entanto, o impacto está ligado unicamente aos sistemas operativos Windows.

O processo de liberação de uma atualização normalmente segue diversas etapas operacionais para emendar eventuais problemas e reduzir possíveis impactos. As melhores práticas nesta dimensão exigem, por exemplo:

1. Verificação do lançamento em envolvente de teste.
2. Transição para produção em envolvente controlado.
3. Projecto de liberação nos diversos clientes (divididos em lojistas) de forma gradual e programada.
4. Monitoramento contínuo de todas as tarefas do processo para poder suspender o fluxo em caso de indícios de problemas.

O que aconteceu hoje, 19 de julho de 2024, parece ter contornado um processo normal de liberação e aprovação. Ainda não sabemos os motivos que levaram a Crowdstrike a realizar a tarefa sem um processo de lançamento progressivo e programado para reduzir o risco de travamentos ou travamentos.

Podemos nos deparar com um erro humano ou talvez uma liberação de emergência devido a um problema maior ou de segurança cibernética.

O processo de gerenciamento de mudanças contém etapas de aprovação e estudo de risco definida. O processo de mudança emergencial reduz avaliações e análises e é aplicado unicamente em caso de emergência, mas com possibilidade de gerar um impacto suplementar no lado empresarial.

Considerações finais

Levante caso deve nos fazer refletir sobre vários aspectos.

• Lá resiliência operacional não é mais um tema ligado às grandes tecnologias. A resiliência operacional refere-se à capacidade de uma empresa continuar operando mesmo diante de um incidente, principalmente no mundo cibernético. Para simplificar, as empresas devem:
  • Definir cenários de perenidade operacional mesmo diante de eventos de cume ou extenso impacto. Evoluir planos de Ininterrupção de Negócios e Recuperação de Desastres, pois a dificuldade tecnológica, o aumento dos ataques cibernéticos e a utilização de tecnologias cada vez mais avançadas aumentam o risco de possíveis avarias.
  • Para continuar a competir no mercado, as questões de resiliência devem ser abordadas com maturidade e estrutura interna e externa.
• Lá gestão da enxovia de provimento constitui um ponto chave para obter uma estratégia eficiente de resguardo e resiliência. Os fornecedores devem ser:
  • Medido na tempo de escolha inicial. Mapeado através da definição dos diversos níveis de criticidade.
  • Monitorados durante as etapas de colaboração com pessoal foco na sua criticidade nas diversas funções de negócio.

Neste caso específico há duas interpretações:

• Um de nossos fornecedores pode ter sido impactado pelo incidente descrito supra. Porquê nossa empresa pode continuar operando mesmo diante da indisponibilidade de seus serviços/fornecimentos?
  • Um mau funcionamento de software fornecido por terceiros pode prejudicar nossa empresa. Temos um projecto e interlocutores internos e externos capazes de reiniciar o nosso negócio?

Os regulamentos NIS 2 e DORA sublinham a valia dos aspectos supra descritos: a comunidade europeia estabelece porquê objectivo obter um sistema de resguardo concentrado.

Do ponto de vista tecnológico, é forçoso dotar uma empresa de um sistema avançado de proteção contra ameaças (XDR), uma vez que os ataques cibernéticos crescem contínua e inexoravelmente.

Também importante é determinar o verosímil impacto de um mau funcionamento concentrado dos sistemas de resguardo.