Tanult a CrowdStrike a patchmageddonból
Új ellenőrzési folyamatot dolgoz ki a CrowdStrike annak érdekében, hogy a jövőben sikerülhessen elkerülni a nagy pénteki leálláshoz hasonló problémákat.
A CrowdStrike publikálta a 8,5 millió windowsos szerver és munkaállomás leállásáért felelős hibás szoftverfrissítéshez kapcsolódó incidens utáni előzetes áttekintést (PIR). A dokumentum a tesztszoftverben megbújó bugot okolja a végfelhasználókhoz eljutott tartalomfrissítés nem megfelelő validálásáért, a cég lényegében beismerte maga is, hogy a frissítés nem volt megfelelően tesztelve, mielőtt éles környezetbe engedték.
Az esetből okulva a biztonsági cég ígéretet tett arra, hogy a jövőben alaposabban teszteli a tartalomfrissítéseket, javítja hibakezelési folyamatait, és a frissítések fokozatosan kerülnek telepítésre a telepítési bázis nagyobb részein, ahelyett, hogy azonnal továbbítódnának az összes rendszerre.
A Falcon Sensor szoftvert világszerte használják vállalkozások a rosszindulatú programok és a biztonsági incidensek kockázatának mérséklésére, épp ezért kellemetlen, hogy a kiadott tartalomkonfigurációs frissítés volt az, ami a Windows összeomlását okozta, ám az eset rávilágít arra is, milyen veszélyeket rejtenek magában a biztonsági szoftverek gyártóinak eddigi gyakorlatai.
A cég magyarázata szerint a számítógépes rendszerek elleni támadások megelőzésére szolgáló Falcon Sensor alkalmazás része egy Sensor Content, mely definiálja a technológia képességeit, és Rapid Response Content csomagokkal frissül az újabb fenyegetésekkel kapcsolatos információkkal. A pénteki leállást lényegében egy 40KB-os Rapid Response Content fájl okozta.
A frissítéseket a vállalatok értelemszerűen automatikusan telepítik, mivel nincs idő mindent letesztelni és kipróbálni, ezt a folyamatot hivatottak megkönnyíteni a felhőszolgáltatások is, amelyek segítéségével a szolgáltatások naprakészek maradhatnak. A CrowdStrike két Rapid Response Content frissítést adott ki a múlt héten, de a Content Validator hibája miatt a két példány közül az egyik átment az ellenőrzésen annak ellenére, hogy problémás tartalomadatokat tartalmazott – vallja be a cég. A szenzor a problémás Rapid Response Content csomagot töltötte be a Content Interpreterbe, előidézve egy memóriakezelési hibát, ami végül a rendszerek összeomlásához és kék halálhoz vezetett.
A CrowdStrike hozzátette: stabilitási tesztet és egyéb más teszteket is futtat majd a Rapid Response tartalmakon, emellett frissíti a Rapid Response csomagokat ellenőrző felhőalapú technológiáját.