Newsletter DNSC
Directoratul Național de Securitate Cibernetică (DNSC) alături de compania Deloitte au elaborat un document de analiză și recomandări privind erorile cauzate de soluția CrowdStrike.
Perturbarea globală recentă, cauzată de o actualizare defectuoasă efectuată de CrowdStrike, a scos la iveală vulnerabilități critice în infrastructura IT din mai multe sectoare. Acest incident oferă lecții esențiale pentru CIO și CTO despre îmbunătățirea rezilienței IT și gestionarea eficientă a actualizărilor.
Din informațiile oferite de presa din toată lumea, incidentul a început în Australia, unde dispozitivele unor bănci, companii aeriene și posturi TV au afișat „ecranele albastre ale morții” (Blue Screens of Death – BSOD). Problema s-a răspândit rapid în Europa și SUA, perturbând operațiunile în diverse industrii, inclusiv în spitale și centre de apeluri de urgență.
Cauza principală a întreruperii a fost o actualizare defectuoasă a software-ului Falcon Sensor de la CrowdStrike, care a dus la prăbușirea și intrarea în buclă de recuperare a dispozitivelor. Mai mult, cauza a fost identificată ca fiind un fișier specific utilizat de software-ul Falcon pentru a gestiona și direcționa comunicațiile și actualizările senzorilor între servere și end-point-uri, localizat în %WINDIR%\System32\drivers\CrowdStrike. Fișierul care a cauzat problemele are o denumire care începe cu „C-00000291” și are terminația „.sys”, cu marca temporală (timestamp) 2024-07-19 0409 UTC și a fost ulterior înlocuit cu o versiune corectată, având timestamp-ul 2024-07-19 0527 UTC sau ulterior (sursa: crowdstrike.com).
CrowdStrike a confirmat că problema a fost un defect software, nu un atac cibernetic, subliniind că o gestionare necorespunzătoare a actualizărilor poate fi la fel de dăunătoare ca măsurile inadecvate de securitate cibernetică.
Documentul elaborat de Directoratul Național de Securitate Cibernetică (DNSC) alături de compania Deloitte privind incidentul cauzat de o eroare a soluției CrowdStrike, îl puteți accesa în următorul link: https://www2.deloitte.com/content/dam/Deloitte/ro/Documents/newsletter-deloitte-dnscrecomandare-incident-microsoft-crowdstrikero.pdf?nc=42
