Массовый сбой в ИТ в настоящее время затрагивает компьютерные системы по всему миру. В Австралии и Аотеароа, Новая Зеландия, согласно сообщениям, пострадали компьютеры в банках, средствах массовой информации, больницах, транспортных службах, кассах магазинов, аэропортах и т. д.
Сегодняшнее отключение беспрецедентно по своим масштабам и серьезности. Технический термин, обозначающий то, что произошло с затронутыми компьютерами, заключается в том, что они были «замурованы». Это слово относится к тем компьютерам, которые из-за этого сбоя стали настолько бесполезными, что — по крайней мере на данный момент — они с таким же успехом могут превратиться в кирпичи.
Широкомасштабное отключение было связано с программным обеспечением под названием CrowdStrike Falcon. Что это такое и почему это вызвало такие масштабные нарушения?
Что такое CrowdStrike Falcon?
CrowdStrike — американская компания по кибербезопасности, занимающая значительную долю мирового рынка технологий. Falcon — это один из программных продуктов компании, который организации устанавливают на свои компьютеры, чтобы защитить их от кибератак и вредоносных программ.
Falcon — это так называемое программное обеспечение «обнаружения и реагирования конечных точек» (EDR). Его задача — следить за тем, что происходит на компьютерах, на которых он установлен, в поисках признаков гнусной деятельности (например, вредоносного ПО). Когда он обнаруживает что-то подозрительное, это помогает блокировать угрозу.
Это означает, что Falcon — это то, что мы называем привилегированным программным обеспечением. Чтобы обнаружить признаки атаки, Falcon приходится тщательно отслеживать компьютеры, поэтому у нее есть доступ ко многим внутренним системам. Сюда входит информация о том, какие сообщения компьютеры передают через Интернет, а также какие программы запущены, какие файлы открываются и многое другое.
В этом смысле Falcon немного похож на традиционный антивирус, но на стероидах.
Более того, однако, он также должен иметь возможность блокировать угрозы. Например, если он обнаружит, что компьютер, который он контролирует, общается с потенциальным хакером, Falcon должен иметь возможность отключить эту связь. Это означает, что Falcon тесно интегрирован с основным программным обеспечением компьютеров, на которых он работает, — Microsoft Windows.
Почему Falcon вызвал эту проблему?
Эта привилегия и тесная интеграция делают Falcon мощным. Но это также означает, что неисправность Falcon может вызвать серьезные проблемы. Сегодняшнее отключение электроэнергии является наихудшим сценарием.
Что мы в настоящее время знаем, так это то, что обновление Falcon привело к его неисправности, в результате чего компьютеры с Windows 10 вышли из строя, а затем не смогли перезагрузиться, что привело к ужасному «синему экрану смерти» (BSOD).
Это ласковый термин, используемый для обозначения экрана, который отображается, когда компьютеры Windows выходят из строя и требуют перезагрузки — только в этом случае проблема Falcon означает, что компьютеры не могут перезагрузиться, не столкнувшись снова с BSOD.
Почему Falcon так широко используется?
CrowdStrike — лидер рынка решений EDR. Это означает, что ее продукты, такие как Falcon, широко распространены и, вероятно, являются лучшим выбором для организаций, заботящихся о своей кибербезопасности.
Как показал сегодняшний сбой, это касается больниц, медиа-компаний, университетов, крупных супермаркетов и многих других. Полный масштаб воздействия еще предстоит определить, но оно, безусловно, глобальное.
Почему домашние компьютеры не затронуты?
Хотя продукты CrowdStrike широко используются в крупных организациях, которым необходимо защитить себя от кибератак, на домашних ПК они используются гораздо реже.
Это связано с тем, что продукты CrowdStrike предназначены для крупных организаций, в которых инструменты CrowdStrike помогают им отслеживать свои сети на предмет признаков атак и предоставляют им информацию, необходимую для своевременного реагирования на вторжения.
Для домашних пользователей гораздо более популярны встроенные антивирусные программы или продукты безопасности, предлагаемые такими компаниями, как Norton и McAfee.
Сколько времени потребуется, чтобы это исправить?
На этом этапе CrowdStrike предоставила ручные инструкции о том, как люди могут решить проблему на отдельных затронутых компьютерах.
Однако на момент написания статьи автоматическое решение этой проблемы еще не найдено. ИТ-команды в некоторых организациях могут быстро решить эту проблему, просто удалив поврежденные компьютеры и восстановив их из резервных копий или чего-то подобного.
Некоторые ИТ-команды также могут иметь возможность «откатить» (вернуться к более ранней версии) затронутую версию Falcon на компьютерах своей организации. Также возможно, что некоторым ИТ-командам придется вручную устранять проблему на компьютерах своей организации по одному.
Следует ожидать, что во многих организациях может пройти некоторое время, прежде чем проблема сможет быть полностью решена.
Ирония в этом инциденте заключается в том, что специалисты по безопасности уже много лет поощряют организации внедрять передовые технологии безопасности, такие как EDR. Однако та же самая технология сейчас привела к серьезному сбою в работе, подобного которому мы не видели уже много лет.
Для таких компаний, как CrowdStrike, которые продают высокопривилегированное программное обеспечение безопасности, это своевременное напоминание о том, что им следует быть предельно осторожными при развертывании автоматических обновлений для своих продуктов.
Тоби Мюррей, доцент кафедры кибербезопасности, Школа вычислительных и информационных систем, Мельбурнский университет