Dan Demeter, Kaspersky: Un update mai rău ca un atac informatic

Dan Demeter, Kaspersky: Un update mai rău ca un atac informatic

Cel mai important incident informatic din istoria recentă, perturbarea globală cauzată de actualizarea defectuoasă CrowdStrike, a scos la iveală vulnerabilități critice în infrastructura IT din mai multe sectoare, paralizând activitatea unor organizații și instituții importante. Incidentul a oferit lecții esențiale, la nivel de top management, pentru îmbunătățirea rezilienței IT și gestionarea eficientă a actualizărilor.

O lume întreagă a urmărit, impacientată, știrile despre incidentul IT care a afectat mii de entități de afaceri la nivel global, inclusiv aeroporturi, bănci. Totul a fost cauzat de o problemă de actualizare a software-ului lansată de furnizorul de securitate cibernetică CrowdStrike. Pentru a preveni aceste cazuri, în viitor, este foarte important ca orice vendor de securitate informatică să urmeze un proces de trimitere de update-uri în pași multipli, după o verificare temeinică de compatibilitate, recomandă experții în cybersecuritate.

Cea mai importantă măsură pentru evitarea unor situații de acest gen este testarea oricărui update pe un set de mașini de test (test boxes) care sunt „în oglindă” cu cele din producție. Acest lucru se obține prin crearea mai multor medii de dev, staging, user acceptance test (UAT) și production. De obicei, mediul de UAT este cel în care se pot observa bug-urile nou introduse de un update, explică Dan Demeter, cercetător în domeniul securității, în cadrul GREAT Kaspersky. „De exemplu, în sistemul de operare Windows, în setările de Windows Update Delivery Optimization, administratorii de sistem au mai multe opțiuni de aplicare a update-urilor, printre care «Check for Updates but let me choose whether to download and install them». Aceasta ar putea fi o strategie simplă, care ar fi detectat și neutralizat problemele update-ului primit în acea zi”, arată Dan Demeter.

O altă opțiune importantă este folosirea unui sistem de operare ce poate porni o configurație / kernel anterior. De exemplu, sistemele de operare GNU/Linux, la momentul de boot, au opțiunea de a porni cu un kernel mai vechi, în caz că actualul kernel are o problemă din cauza unui update. De asemenea, un mix de mașini Windows și GNU/Linux ajută la reziliența infrastructurii IT, în cazul unei probleme apărute în urma primirii unui update cu deficiențe.

O perturbare globală

Incidentul a început în Australia, unde dispozitivele unor bănci, companii aeriene și posturi TV au afișat „ecranele albastre ale morții” (Blue Screens of Death – BSOD). Problema s-a răspândit rapid în Europa și SUA, perturbând operațiunile în diverse industrii, inclusiv în spitale și centre de apeluri de urgență. Cauza principală a întreruperii a fost o actualizare defectuoasă a software-ului Falcon Sensor de la CrowdStrike, care a dus la prăbușirea și intrarea în buclă de recuperare a dispozitivelor. Mai mult, cauza a fost identificată ca fiind un fișier specific utilizat de software-ul Falcon pentru a gestiona și direcționa comunicațiile și actualizările senzorilor între servere și end-point-uri. CrowdStrike a confirmat că problema a fost un defect software, nu un atac cibernetic, subliniind că o gestionare necorespunzătoare a actualizărilor poate fi la fel de dăunătoare ca măsurile inadecvate de securitate cibernetică.

În Marea Britanie, Bursa de Valori din Londra, aeroportul din Edinburgh și Ryanair au raportat întreruperi în serviciile lor, aeroportul din Hong Kong a văzut cum sistemele sale de check-in au căzut, iar South China Morning Post a relatat că întreruperea a lăsat aeroportul internațional „în haos”. De asemenea, problema a afectat și companii din sectorul alimentar și bancar până la organizații de știri și rețele feroviare.

Brody Nisbet, directorul CrowdStrike care răspunde de zona de supraveghere, a publicat o soluție temporară pe rețelele de socializare, care implica pornirea dispozitivelor în Safe Mode, ștergerea fișierului cu probleme și apoi repornirea normală. Deși a oferit o soluție temporară, incidentul a evidențiat necesitatea urgentă a unor practici robuste de gestionare a proceselor IT pentru a preveni astfel de perturbări pe scară largă.

„Sistemele critice, cele care sunt instalate în locații greu accesibile sau cele care nu pot fi reinstalate ușor necesită o atenție sporită, deoarece orice update primit poate periclita buna funcționare. Prin urmare, aceste sisteme ar trebui înrolate într-un sistem de «progressive fleet updating», prin care mai întâi se instalează update-urile pe niște mașini de test, urmând apoi ca acestea să fie aplicate și mașinilor critice. În acest fel, ne asigurăm că orice update primit trece testele de compatibilitate și stabilitate în infrastructura IT”, explică Dan Demeter, cercetător în domeniul securității informatice.

Fragilități ascunse

Fragilitatea mediului de business crește semnificativ, deoarece există o dependență de un număr mic de companii pentru infrastructura tehnologică. Majoritatea firmelor utilizează soluții de securitate similare, ceea ce accentuează vulnerabilitatea lanțului de aprovizionare și demonstrează că diversificarea furnizorilor pentru a asigura reziliența operațională este critică, consideră experții Deloitte România.

Testarea periodică a planurilor de recuperare în caz de dezastru prin simulări și scenarii variate poate identifica punctele slabe și zonele care au nevoie de îmbunătățiri. În funcție de factorii de buget disponibili, posibilitatea implementării unui sistem backup al infrastructurii de producție (on-premise și izolat) dedicat funcțiilor vitale și având dotările hardware și software minim necesare, ar putea aduce beneficii majore în termeni de reziliență a activității.

Pe de altă parte, experții Deloitte consideră că ar trebui implementate mecanisme de redundanță și failover pentru a se asigura că sistemele critice rămân operaționale chiar dacă o componentă eșuează. Adoptarea unei infrastructuri hibride sau multi-cloud poate reduce semnificativ riscul unui singur punct de eroare (single point of failure), prin distribuirea sarcinilor în mai multe medii. Echilibrarea încărcării și distribuția geografică a resurselor pot reduce și mai mult riscurile asociate eșecurilor locale.

Articolul a fost inițial publicat în Biz nr. 387 (16 octombrie – 16 noiembrie 2024). Dacă dorești să primești Revista Biz prin curier, abonează-te aici.