Es probable que los ecos del apagón de CrowdStrike del 19 de julio resuenen en toda la industria durante años. Por ahora, los equipos de TI siguen centrados en gestionar una recuperación empresarial que requiere mucha mano de obra.
Pero la recuperación es sólo el comienzo. Lo que viene a continuación es una avalancha de escrutinio regulatorio, resentimiento dentro de la comunidad de TI y un crudo recordatorio de que incluso un pequeño error en una actualización de software puede tener consecuencias catastróficas a escala global.
Los ciberadversarios también comenzaron a dar vueltas a su alrededor, buscando una oportunidad.
Windows en modo de recuperación
La actualización de configuración sensorial defectuosa de la plataforma Falcon se lanzó el 19 de julio a las 4:09 UTC. según CrowdStrike. Una vez el Actualización de CrowdStrike fue eliminado, lo que provocó interrupciones generalizadas de Microsoft a los 29.000 clientes de CrowdStrike Los empleados de CrowdStrike cuentan entre sus clientes a los minoristas Target y Amazon, a los gigantes tecnológicos Alphabet e Intel, y a muchas otras empresas conocidas. Al intentar iniciar sesión el viernes por la mañana, los empleados de algunas de las organizaciones más grandes del mundo se encontraron con la temida pantalla azul de la muerte. Aeropuertos, bancos, hospitales, gobiernos: pocos sectores se han librado de las consecuencias, que paralizaron la economía mundial y provocaron pánico.
No fue un ciberataque, aseguró CrowdStrike, sino simplemente un problema técnico. Pero eso no sirvió de consuelo para los equipos de TI que el viernes tuvieron que abordar la tarea de iniciar manualmente las computadoras afectadas en modo de recuperación, eliminar el archivo defectuoso y reiniciar. Este proceso todavía está en curso en muchas organizaciones.
“Esto no es algo que se pueda hacer de forma remota y en muchas organizaciones requerirá un administrador”, dijo en un comunicado Tom Marsland, vicepresidente de tecnología de Cloud Range. “Esto significa que un miembro del soporte de TI tiene que ir de una computadora a otra y hacerlo manualmente. »
Marsland predijo que la recuperación tardará días, o incluso una semana o más, para algunas grandes empresas.
“La recuperación va a ser dolorosa, por decir lo menos”, añadió Marsland.
La caída de Microsoft no estaba relacionada con el 18 de julio Interrupción de Azureque ya ha sido solucionado, según un portavoz de Microsoft.
Según Microsoft, que dice que trabajó estrechamente con CrowdStrike para resolver el problema, unos 8,5 millones de dispositivos Windows (menos del 1% de todas las máquinas con Windows) se vieron afectados por la actualización defectuosa.
“Este incidente demuestra la naturaleza interconectada de nuestro vasto ecosistema: proveedores globales de nube, plataformas de software, seguridad y otros proveedores de software, y clientes. También nos recuerda lo importante que es para todos nosotros en el ecosistema tecnológico priorizar la operación con implementación segura y recuperación ante desastres utilizando los mecanismos existentes”, dijo David Weston, vicepresidente de seguridad empresarial y sistemas operativos de Microsoft en una publicación publicada este fin de semana.
CrowdStrike encontró un problema
¿Cómo es que una actualización de CrowdStrike bloqueó las computadoras en todo el mundo? El problema es lo que no hicieron, dicen los expertos.
David Brumley, profesor del Departamento de Ingeniería Eléctrica e Informática de la Universidad Carnegie Mellon, identifica algunos de los errores que cometió CrowdStrike: durante las pruebas y la implementación.
“En primer lugar, no probaron adecuadamente sus actualizaciones”, dijo Brumley en un comunicado proporcionado a Dark Reading. “Esto debe hacerse en dos etapas: probar los componentes del software antes de ensamblarlos y probar las versiones finales del software en las diferentes versiones del sistema operativo. »
Los errores continuaron, según Brumley.
“En segundo lugar, no han sido lo suficientemente progresistas en su despliegue”, añadió. “Esto significa que todos recibieron la actualización incorrecta al mismo tiempo. Empresas como Google implementan actualizaciones gradualmente, por lo que si la actualización es mala, al menos tendrá daños limitados. »
También está el problema de implementar la actualización un viernes, una práctica que los profesionales de TI consideran de mala educación.
“Implementar actualizaciones el viernes es generalmente una mala idea debido a varios riesgos, como demostró el incidente de CrowdStrike”, dice Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start. “Normalmente, los equipos de TI tienen poco personal los fines de semana, por lo que si una actualización sale mal, hay menos personas disponibles para solucionarla. »
Añade que los despliegues del viernes también aumentan las posibilidades de que el problema pase desapercibido durante el fin de semana.
‘Gran oferta’
A medida que CrowdStrike se recupere de este incidente, la empresa puede enfrentar un mayor escrutinio. También se debe examinar la relevancia de la consolidación desenfrenada de las empresas de software, dijo a Dark Reading Andy Ellis, socio operativo de YL Ventures.
“Creo que todo regulador con un mínimo de autoridad va a realizar una investigación, aunque sólo sea para observar el riesgo de consolidación de proveedores en tantos sectores críticos diferentes”, dice Ellis. “Reveló hasta qué punto nuestra infraestructura básica depende de un monocultivo. »
El viernes por la tarde, la presidenta de la Comisión Federal de Comercio, Linda Khan, parecía referirse a la Interrupción de CrowdStrike en las redes sociales y señaló que depender de muy pocos proveedores ha creado “sistemas frágiles”, donde “un solo problema resulta en una falla en todo el sistema”.
Más allá de la pérdida de beneficios y las horas de trabajo necesarias tras la interrupción de CrowdStrike, los adversarios ya están intentando aprovechar la situación. El director ejecutivo de CrowdStrike, George Kurtz, y CISA advirtieron que los estafadores buscan aprovechar el caos.
“Sabemos que adversarios y actores maliciosos intentarán explotar eventos como este”, dijo Kurtz en un comunicado. declaración“Animo a todos a permanecer atentos y asegurarse de interactuar con los representantes oficiales de CrowdStrike. »
En cuanto a CrowdStrike, la empresa tendrá que convencer a sus clientes de que se trata de un error puntual. Los contratos probablemente protegerán a CrowdStrike de responsabilidad legal, afirma Ellis, y añade que, en última instancia, serán los clientes los que decidan el destino de la empresa.
“Creo, como la mayoría de las empresas de software, que las limitaciones contractuales de responsabilidad protegerán directamente a CrowdStrike, pero no los protege de discusiones difíciles con los reguladores o con los clientes durante sus ciclos de renovación”, añade Ellis. “Es un gran problema. »