bencede
New member
Crowdstrike Gau'dan bir yıl sonra: Doğru sonuçlar tasarlandı mı?
Dolandırıcı Bildirim
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
Crowdstrike'ın çöküşü Cumartesi günü tabelaya işaret ediyor. Geriye bakmak için iyi bir neden. Ne oldu? 19 Temmuz 2024'te Crowdstrike, milyonlarca Windows bilgisayarları çökmeye getiren Crowdstrikes EDR-System Falcon ile tüm uç nokta güvenlik ajanlarına kusurlu bir güncelleme başlattı. Bir şeyleri kötüleştirmek için, sistemler o kadar sürdürülebilir bir şekilde hasar gördü ki, onu tekrar kullanılabilir hale getirmek için manuel müdahaleye ihtiyaç duyuldu.
Jürgen Schmidt – aka Ju – Haberler güvenliği ve Haberler -verlag'daki kıdemli güvencenin başkanıdır. 25 yılı aşkın bir süredir Haberler'de çalışıyor ve aynı zamanda ağlar, linux ve açık kaynak alanlarıyla da ilgileniyor. Halen esas olarak Haberler Security Pro'ya dikkat ediyor.
Bu, bazı yöneticilerin aslında bazen günlerce sürüklenen binlerce Windows bilgisayarına gitmek zorunda kaldıkları anlamına geliyordu. Muhafazakar tahminlere göre, sonucun neden olduğu hasar milyar ABD dolarıdır.
Araştırma
Merkezi neden, bu kritik güncellemelerin milyonlarca sisteme dağıtılması sırasında sefil Crowdstrike kalitesi garantisi idi. Crowdstrike neredeyse bu güncellemeyi önceden test etmedi ve tek bir fell swoop'taki tüm sistemlere dağıtmadı. Farklı aşamalarda sendelemek yaygındır. Ve son olarak, hemen çok geç ve yetersiz meydana gelen hemen hemen kazalara tepki gösterdiler.
Buna ek olarak, kanalın böyle bir güncellemesinin çekirdeğin belleğinde bir yaralanmaya neden olduğu sistemin mimarisi vardı. Güvenlik yazılımının önemli kısımları doğrudan işletim sisteminin çekirdeğinin bir parçası olarak gerçekleştirildiğinden, sadece hatalar durumunda bir programa neden olmakla kalmaz, aynı zamanda tam sistem. Bu, pencereler altında bile teknik olarak daha iyi çözülebilirdi.
Konuşma: Windows, yeterince tasarlanmamış bir işletim sistemi sorunu. EBPF (geniş Berkeley Paketler filtresi) ile Linux çekirdeği, güvenlik yazılımının çekirdek modunda hareket etmeden çekirdek kaynaklarına erişebileceği bir arayüz sunar. Amaç, daha az güvenilir sistemin çekirdeğini dışarıda tutmaktır. Öte yandan Windows, çekirdeğe erişim için hem destek hem de kurallardan yoksundu. CrowdStrike da dahil olmak üzere tüm üreticilerin sürücüleriyle birlikte Windows çekirdeğinde de çalışmasının nedeni budur. Ve bu Drowstrike sürücüsünü yüklerken pencereler çöktü.
Bu, başlangıç sürecinde o kadar erken oldu ki, kullanıcıların müdahale etme imkanı yoktu; Sistemi sonsuz bir yeniden başlatma döngüsünde yakalandı. Sorunlu sürücüyü sunmadan başlangıç sürecini ve aynı yerin üçüncü tutuklanmasını kaydetme fikri görünüşte Redmond'da değildi. Bu basit önlem, sorunun etkilerini önemli ölçüde azaltacaktır.
Ücretsiz bülten IX'u zaten biliyor musunuz? Şimdi kaydolun ve her ay hiçbir şeyi kaçırmayın: Haber/s/ny1e. Bir sonraki konu, Ağustos-I: Modern Test Yönetimi başlığının konusuyla ilgilidir.
Gelişmiş
Bu arada, sorumlu aktörler sadece gelişmeyi övmekle kalmadı, aynı zamanda gelecekte böyle bir süper gau'dan kaçınmak istediğiniz somut önlemler uyguladılar. Her şeyden önce, şimdi sistemlerini yorumlamak isteyen Crowdstrike ve “tasarım için esnek” operasyonu. Bunun altında, test sırasında daha önce bahsedilen başarısızlıkların ortadan kaldırılması ve güncellemelerin başlatılması.
Amaç, müşteri sistemlerini karşılamadan önce hataları bulmak ve ortadan kaldırmaktır. Ve müşteriler artık hemen imza ve sensör güncellemeleri mi yoksa gecikme ile mi isteyip istemediklerini bile belirleyebilirler. Ancak açıkçası bu da riskleri de içerir: sensör sadece mevcut saldırı modellerini tanır. Crowdstrike, çekirdeğin eleştirel kullanımını en aza indirmek istiyor. Ve son olarak, bir personel pozisyonu olarak bir “Baş Dayanıklılık Görevlisi”, doğrudan CEO altındaki yeni başarısızlıklara karşı direnci artırmaktır.
Microsoft'ta da güvenilirlik daha yüksektir. Pencere Esnekliği girişiminin bir parçası olarak, tekne süreci makinenin hızlı bir şekilde geri kazanılmasını içerecek şekilde genişletilmiştir. Bu, gelecekte Windows sistemlerini uzaktan başlangıç problemleriyle tekrar elde etmeyi mümkün kılmalıdır. Buna ek olarak, Microsoft güvenlik yazılımı büyük ölçüde çekirdek ve Microsoft Virüs Girişimi (MVI) güvenlik tedarikçileri tarafından açıklanmaktadır. Güvenlik tedarikçilerini daha eksiksiz olmaya ve güncellemelerini dökmeye zorlar.
Ancak önlemler de eleştiriye neden oluyor. Linux'un veya çitle çevrili Apple Security'nin aksine, Microsoft'un kendisi ticari güvenlik ürünlerinin tedarikçisidir. Güvenlik sektöründe Microsoft'un güvenlik yazılımı için daha fazla avantaj elde etmek için konumunu kullandığı sesler zaten artmaktadır. Reklamayı engellemek ve diğer tekelleri oluşturmak için Redmond'da Windows'u ilk kez kullanmayacaktı. Gelecekte, gerçekte teknik olarak hassas ve gerekli olana ve rekabetin bozulmasının nereden başladığına dikkat etmeliyiz.
Tekellerden ve monokültürlerden bahsetmişken
Genellikle Crowdstrike şişesinin tek bir renk sonucu olduğu duyulabilir. Onunla çelişirdim. Crowdstrike, güvenlik piyasasının ana tedarikçilerinden biridir, ancak bir tekelci değildir; Sentinelone, Trend Micro, Palo Alto ve son olarak, Microsoft'un geçerli alternatifler olarak uç nokta için savunucusu ile birlikte var. Pencereler bir monokültür ve bu nedenle tek bir iflas noktasıdır. Ancak Windows, 70 yerine sistemlerin sadece yüzde 30'unu çalıştırdıysa ve piyasayı aynı şekilde birkaç rakiple paylaştıysa, Crowdstrike'ın başarısızlığı hala milyarlarca hasara neden olurdu. Microsoft'un yarı-monopolisi en çok sorunu genişletti, ancak hiç neden olmadı.
Tartışmada ise, tartışmada nasıl olabileceği sorusu, Crowstriike gibi büyük ve ünlü bir üreticinin kalite garantisini tokatlamasıdır. Bu esas olarak sonuç eksikliğinden kaynaklanmaktadır. Crowdstrike borsasının yolu kısa bir süre sonra çöktü, ancak uzun süre yeni zirvelere döndü. Nedenleri başarısızlıklardan, yani CrowdStrike veya Microsoft'un değil, şirket müşterileri ve bununla birlikte, Doğranmış Drew'da duran müşterileri havaalanlarında Drew'da duruyor. Delta Havayolları gibi devam eden hasar, hipotezlerin en iyisi, kendilerine kolayca birkaç milyar sunacaklar.
Crowdstrike'tan bir yıl sonra bile şirkette kaydırmanın neden olduğu riskin sistematik dış kaynak kullanımında hiçbir şey değişmedi. Güvenlik ve güvenilirlik esas olarak üreticiden doğrudan satış kayıpları olmadan tasarruf edebilecek maliyetler üretir. Çok ileri sürerseniz ve yenerseniz, biraz kefaret yapın – ve birkaç yıl sonra aynısını devam ettirin. BT alanında üreticiler ve tedarikçiler, güvenlik ve güvenilirlik alanında ciddi ihmalkâr ihmaller için yapışana kadar, bu tür kazalar da olacaktır.
(Ju)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!