Отстраняването на глобалното прекъсване на ИТ може да отнеме седмици, предупреждават експерти

На доста компании евентуално ще им трябват дни или даже седмици, с цел да се възстановят изцяло от невижданото спиране на компютъра в петък, предизвестиха ИТ специалисти, след неверна софтуерна актуализация от компанията, на която са се доверили с цел да обезпечат своите системи, провокираха солидни световни разстройства.

CrowdStrike, един от най-големите снабдители на сигурност в света, упрекна актуализацията на своя програмен продукт Falcon за неточност, която счупи 8,5 милиона компютри и сървъри с Windows, приземи самолети, отсрочи болнични прегледи и извади от ефир оператори по целия свят.

„ В момента изчисляваме, че актуализацията на CrowdStrike е засегнала 8,5 милиона устройства с Windows, или по-малко от 1 % от всички машини с Windows “, сподели Microsoft в събота в обява в блог. „ Въпреки че процентът беше дребен, необятните стопански и публични въздействия отразяват потреблението на CrowdStrike от предприятия, които ръководят доста сериозни услуги. “ 

Cirium, компания за авиационен разбор, сподели в събота, че самолетните компании са отменили още 1848 полета, най-вече в Съединени американски щати, макар че Австралия, Индия и Канада също са наранени.

Прекъсванията бяха още по-шокиращи, като се има поради мощната известност на CrowdStrike като първа линия на отбрана на доста компании против хакерски атаки, споделиха анализатори.

„ Това е първият път, когато необятно публикуван сътрудник за сигурност, който е предопределен да пази машини, в действителност ги кара да се счупят “, сподели Нийл Макдоналд, анализатор в ИТ консултантската компания Gartner.

Единственото решение за потребителите на Windows, наранени от грешката „ наследник екран на гибелта “, включва рестартиране на компютъра и ръчно заличаване на несполучливата файлова актуализация на CrowdStrike, което изисква на практика достъп до всяко устройство.

Това значи, че може да отнеме дни или седмици за използване в предприятия с хиляди машини с Windows или дефицит на ИТ служащи, които да управляват смяната, споделят специалисти.

„ Изглежда, че милиони компютри ще би трябвало да бъдат поправени на ръка “, сподели Мико Хюпонен, основен откривател в WithSecure, компания за киберсигурност.

„ Най-критичните машини като преносимия компютър на основния изпълнителен шеф към този момент са поправени – само че за междинния Джо във финансите ще отнеме известно време, до момента в който някой пристигна да поправи вашия преносим компютър. “

Изострянето на въздействието на грешката е огромният мащаб и високопоставеният темперамент на доста от потребителите на CrowdStrike.

Базираната в Остин, Тексас компания съобщи, че е имала повече от 29 000 бизнес клиенти в края на 2023 година и твърди в маркетингови материали, че нейният програмен продукт се употребява от повече от половината от Fortune 500.

p>

„ Въпреки че [CrowdStrike] в действителност е много огромна компания, концепцията, че ще затвори света, е невероятна “, сподели Маршал Лукс, гостуващ помощник в McDonough School of Business на Джорджтаунския университет.

Глобалният пулсационен резултат илюстрира „ взаимосвързаността на всички тези неща “ и „ риска от централизация на този пазар “, добави Лукс.

Доставчиците на програмен продукт „ явно са станали толкоз огромни и толкоз взаимосвързани “, че техните провали могат да навредят на световната икономическа система, написа анализаторът на Citi Фатима Булани в записка до клиентите. Това може да провокира по-голям политически и регулаторен надзор.

Gartner пресмята, че делът на приходите на CrowdStrike в световния пазар за корпоративна сигурност на крайни точки — който включва сканиране на лични компютри, телефони и други устройства за хакерски атаки — е повече от два пъти по-голям от този на трите му най-близки съперника: Trellix, Trend Micro и Софос. Само Microsoft е по-голям.

В последното позвъняване за облагите на CrowdStrike през юни, основният изпълнителен шеф Джордж Кърц сподели, че има „ необятно публикувана рецесия на доверието измежду екипите по сигурността и ИТ в границите на потребителската база за сигурност на Microsoft “ след поредност от високопрофилни кибер произшествия, засягащи Голям софтуерен колос.

CrowdStrike, която беше учредена през 2011 година, сподели, че е забелязала скок в търсенето, откакто Microsoft съобщи по-рано тази година, че нейните системи са били пробити от хакери, спонсорирани от страната.

През май започва артикул, предопределен да работи дружно със личния инструмент за антивирусна отбрана Defender на Microsoft.

В петък, когато Кърц се извини на клиентите на CrowdStrike, той акцентира, че случаят „ не е хакерска атака “ и настоя клиентите на CrowdStrike „ да останат изцяло предпазени “.

Но откривателите по сигурността предизвестиха, че измамниците могат да се възползват от хаоса, с цел да се показват за сътрудници на Microsoft или CrowdStrike за фишинг измами.

„ Виждаме това да се случва с всеки огромен кибер случай, който е в новините “, сподели Василеос Карагианопулос, доцент по киберпрестъпления и киберсигурност в университета в Портсмут. 

Фирмата за киберсигурност Secureworks сподели, че нейните откриватели са следили няколко нови регистрации на домейни на тематика CrowdStrike в границите на часове след случая, най-вероятно от нарушители, целящи да подмамят клиентите на компанията.

Избягването на вида неточност, която аргументи спиранията в петък, беше „ въпрос на тестване “, сподели Иън Батън, учител в Училището по компютърни науки към университета в Бирмингам. В този случай изглеждаше, че някой просто е „ объркал малко кода “, добави той.

Компании като CrowdStrike са подложени на напън да пуснат нови актуализации за сигурност допустимо най-бързо, с цел да се защитят от най-новите хакерски атаки.

„ Тук има компромис сред скоростта на гарантиране системите да бъдат предпазени против нови закани и надлежната инспекция, направена за отбрана на устойчивостта на системата и попречване на неща като този случай, ” сподели Адам Леон Смит, помощник на Британското компютърно общество, професионална ИТ организация.

Поправянето на вредите, породени от дефектната софтуерна актуализация тази седмица, „ може да отнеме дни и седмици “, сподели той.