أخبار التقنية

شرح فوضى تحديث CrowdStrike: ما تحتاج إلى معرفته

صورة جالب الأخبار جالب الأخبار19 يوليو,2024
10 5 دقائق


في يوم الجمعة 19 يوليو 2024، استيقظت المملكة المتحدة على أخبار انقطاع سريع الانتشار في تكنولوجيا المعلومات، والتي تبدو عالمية بطبيعتها، وتؤثر على مئات – إن لم يكن الآلاف – من المنظمات.

بدأت الاضطرابات في الساعات الأولى من صباح الجمعة في أستراليا، قبل أن تنتشر بسرعة في جميع أنحاء آسيا وأوروبا والأمريكيتين، حيث كانت صناعة السفر من بين الصناعات الأكثر تضرراً على نطاق واسع.

تم تعقب الانقطاع بسرعة إلى شركة الأمن السيبراني كراود سترايك، والتي تعمل بالفعل على الاستجابة للحوادث وسط الفوضى. تابع تطورات هذا الحادث على مدار الأيام والأسابيع القادمة من خلال دليلنا الأساسي.

ماذا يفعل CrowdStrike؟

تعد شركة CrowdStrike واحدة من أبرز شركات الأمن السيبراني في العالم، ولديها آلاف العملاء في جميع أنحاء العالم. يقع مقرها في تكساس، وتوظف أكثر من 8000 شخص وتسجل حوالي 3 مليارات دولار من الإيرادات سنويًا. وقد تأسست الشركة في عام 2011.

تعلن المنظمة عن نفسها على هذا النحو: “لقد أعادت CrowdStrike تعريف الأمان من خلال منصة السحابة الأكثر تقدمًا في العالم والتي تحمي وتمكن الأشخاص والعمليات والتقنيات التي تقود المؤسسات الحديثة. تعمل CrowdStrike على تأمين أكثر مناطق المخاطر أهمية – نقاط النهاية وأحمال العمل السحابية والهوية والبيانات – لإبقاء العملاء في صدارة خصوم اليوم ووقف الخروقات.”

لن تكون CrowdStrike مألوفة لمعظم الأشخاص غير المتمرسين في صناعة التكنولوجيا، على الرغم من أن مشجعي الفورمولا 1 سيكونون على دراية بها بفضل رعايتها الرئيسية لفريق Mercedes AMG Petronas – تظهر علامتها التجارية على جهاز أمان الهالة ويمكن رؤيتها بوضوح في لقطات على متن الطائرة من سيارة لويس هاميلتون.

سيتعرف ممارسو الأمن على CrowdStrike من خلال مساهماتها المتكررة في تحقيقات الحوادث الكبرى، بما في ذلك اختراق شركة سوني بيكتشرز, أزمة WannaCry، والاختراق في عام 2016 اللجنة الوطنية الديمقراطية بواسطة روسيا.

ماذا حدث أثناء انقطاع خدمة CrowdStrike؟

وقد تجلى الاضطراب في البداية في شكل سيئ السمعة شاشة الموت الزرقاء – مما يشير إلى خطأ فادح في النظام – على أجهزة الكمبيوتر التي تعمل بنظام Windows.

وبما أن الاضطراب بدا وكأنه مشكلة من جانب مايكروسوفت في البداية، فقد كان ريدموند هو أول من استجاب، مؤكداً قبل الساعة الثامنة صباحاً بتوقيت جرينتش أنه يحقق في مشاكل تؤثر على الخدمات السحابية في الولايات المتحدة.

سرعان ما أصبح من الواضح أن المشكلة لم تكن بسبب Microsoft نفسها، بل كانت بسبب ملف قناة معيب تم طرحه منتج مستشعر Falcon من CrowdStrike.

Falcon هو حل مصمم لمنع الهجمات الإلكترونية من خلال توحيد برامج مكافحة الفيروسات من الجيل التالي، اكتشاف نقطة النهاية والاستجابة لها (EDR)، واستخبارات التهديدات وتعقب التهديدات، والنظافة الأمنية. يتم إدارة كل هذا وتقديمه من خلال مستشعر خفيف الوزن يتم تسليمه وإدارته عبر السحابة، ويبدو أن هذا هو مصدر المشكلة.

لقد تسبب طرح المنتج بشكل فاشل في حدوث ما يعرف باسم حلقة التمهيدهذا هو الموقف الذي يحدث عندما يتم إعادة تشغيل جهاز Windows دون سابق إنذار أثناء عملية بدء التشغيل – مما يعني أن الجهاز لا يمكنه إنهاء دورة تمهيد كاملة ومستقرة، وبالتالي لن يتم تشغيله.

وفي وقت كتابة هذا التقرير، لم يتم التأكد بشكل كامل من الحقائق الكاملة للحادث، ومن المرجح أن يستغرق التحقيق بعض الوقت.

ومع ذلك، ستحدث مثل هذه المشكلات بشكل عام إما بسبب الاختبار غير الكافي عبر بيئات سطح المكتب والخادم المختلفة، أو بسبب عدم وجود آليات الحماية المناسبة والتراجع عن التحديثات التي تنطوي على تفاعل على مستوى النواة.

هل هناك تهديد للأمن السيبراني بسبب انقطاع خدمة CrowdStrike؟

على الرغم من تشابهها في تأثيرها وأصولها مع هجوم سلسلة التوريدمن المهم ملاحظة أن انقطاع خدمة CrowdStrike ليس حادثًا يتعلق بالأمن السيبراني ولا يُعرف أن أي شخص تعرض للهجوم نتيجة لذلك.

ومع ذلك، نظرًا لأنه يؤثر على منتج الأمن السيبراني، فهناك احتمال أن يسعى الجناة إلى الاستفادة من فترة التوقف عن العمل وأي فجوات في التغطية تنشأ.

ومن المؤكد تقريبًا أن الأيام والأسابيع المقبلة ستشهد قيام جهات تهديد باستغلال الحادث هجمات التصيد والهندسة الاجتماعية في محاولتهم لجذب ضحايا جدد، قد تشمل الإغراءات المحتملة عروض الدعم الفني أو تحديثات CrowdStrike المزيفة، وقد تشمل العواقب استخراج البيانات ونشر برامج الفدية والابتزاز.

ومن المستحسن أن يقوم قادة الأمن وتكنولوجيا المعلومات والمسؤولون عنها بإبلاغ المستخدمين بالمخاطر المحتملة التي قد تنشأ.

من تأثر بانقطاع خدمة CrowdStrike؟

لا يُعرف حتى الآن العدد الكامل للمؤسسات المتضررة من الانقطاع. ومع ذلك، فإن المؤسسات التي من المعروف أنها عانت من بعض التأثيرات أو أكدت أنها عانت منها تشمل:

  • شركات الطيران بما في ذلك الخطوط الجوية الأمريكية، دلتا، KLM، لوفتهانزا، رايان إير، SAS ويونايتد؛
  • المطارات بما في ذلك جاتويك، لوتون، ستانستيد و سخيبول؛
  • المنظمات المالية بما في ذلك بورصة لندن وبنك لويدز وفيزا؛
  • الرعاية الصحية بما في ذلك معظم عيادات الأطباء العامين والعديد من الصيدليات المستقلة؛
  • المؤسسات الإعلامية بما في ذلك MTV، وVH1، وSky وبعض قنوات BBC؛
  • تجار التجزئة ومنظمات الترفيه والضيافة بما في ذلك Gail’s Bakery وLadbrokes وMorrisons وTesco وSainsbury’s؛
  • الهيئات الرياضية بما في ذلك فرق الفورمولا 1 أستون مارتن أرامكو ومرسيدس إيه إم جي بيتروناس وويليامز ريسينغ، والتي تتنافس جميعها في عطلة نهاية الأسبوع 20 و21 يوليو في جائزة المجر الكبرى، واللجنة المنظمة لدورة الألعاب الأولمبية والبارالمبية في باريس 2024، والتي تبدأ في 26 يوليو؛
  • شركات تشغيل القطارات (TOCs) مثل Avanti West Coast، وMerseyrail، وSouthern، وTransport for Wales.

ماذا يقول CrowdStrike عن الانقطاع؟

وفي بيان أولي، قال الرئيس التنفيذي لشركة CrowdStrike، جورج كورتز“تعمل CrowdStrike بنشاط مع العملاء المتأثرين بخلل تم اكتشافه في تحديث محتوى واحد لمضيفي Windows. لا يتأثر مضيفو Mac وLinux. هذا ليس حادثًا أمنيًا أو هجومًا إلكترونيًا.

“تم تحديد المشكلة وعزلها وتم نشر حل لها. نحيل العملاء إلى بوابة الدعم للحصول على أحدث التحديثات وسنستمر في تقديم تحديثات كاملة ومستمرة على موقعنا على الويب.

“نوصي المنظمات أيضًا بالتأكد من التواصل مع ممثلي CrowdStrike من خلال القنوات الرسمية. فريقنا جاهز تمامًا لضمان أمن واستقرار عملاء CrowdStrike.”

وفي مقابلة تلفزيونية مع قناة إن بي سي في الولايات المتحدة، أضاف كورتز: “نحن آسفون بشدة للتأثير الذي أحدثناه على العملاء والمسافرين وأي شخص تأثر بهذا، بما في ذلك شركاتنا”.

وجاء في البيان الكامل الذي نشرته مايكروسوفت على موقعها الإلكتروني والذي نسب إلى متحدث باسمها: “نحن على علم بوجود مشكلة تؤثر على أجهزة ويندوز بسبب تحديث من منصة برمجيات تابعة لجهة خارجية. ونتوقع التوصل إلى حل في القريب العاجل”.

هل يمكنني إصلاح مشكلة CrowdStrike بنفسي؟

قامت CrowdStrike بإلغاء التغييرات التي تم إجراؤها على المنتج المتأثر تلقائيًا، ولكن قد تستمر الأجهزة المضيفة في التعطل أو عدم القدرة على البقاء متصلاً بالإنترنت لتلقي التحديث التصحيحي.

الإجابة المختصرة على هذا السؤال هي نعم، ولكن من المؤسف أن مثل هذه المشكلات قد يكون إصلاحها أمرًا شاقًا، مما يتطلب من فرق تكنولوجيا المعلومات بذل الكثير من العمل. وقد يستغرق الأمر أيامًا، أو حتى فترة أطول، قبل أن يتسنى الوصول إلى جميع الأجهزة المتأثرة.

ننصح مسؤولي النظام باتخاذ الخطوات التالية:

  1. قم بتشغيل Windows في الوضع الآمن، أو بيئة استرداد Windows؛
  2. انتقل إلى الدليل C:\Windows\System32\drivers\CrowdStrike؛
  3. حدد الملف المطابق لـ “C-00000291*.sys”. احذف هذا الملف؛
  4. قم بالتمهيد بشكل طبيعي.

يمكن لعملاء CrowdStrike الوصول إلى مزيد من المعلومات عن طريق تسجيل الدخول إلى بوابة الدعم الخاصة بها.

كيف يمكنني تجنب حدوث مشاكل مماثلة في المستقبل؟

تتعرض شركات الأمن مثل CrowdStrike لقدر كبير من الضغط عندما يتعلق الأمر بتطوير المنتجات وتحديثاتها، وهو ما يجب القيام به بشكل متكرر حيث تسعى جاهدة للحفاظ على عملائها محميين من هجمات الأيام الصفرية الجديدة وبرامج الفدية وما شابه ذلك.

وينتقل هذا الضغط أيضًا إلى العملاء أنفسهم، الذين سيرغبون في كثير من الأحيان، بطبيعة الحال، في الاستفادة من الإعدادات للسماح لأدوات الأمان الخاصة بهم بالتحديث تلقائيًا.

لتجنب الوقوع ضحية لهذا النوع من المشاكل في المستقبل، يجب على فرق تكنولوجيا المعلومات أن تفكر في اتباع نهج تدريجي لتحديثات البرامج – خاصة إذا كانت تتعلق بحلول الأمان – واختبارها في بيئة اختبارية، أو على مجموعة محدودة من الأجهزة، قبل النشر الكامل.

من الحكمة أيضًا أن يكون هناك مستوى معين من التكرار في النظام مدمجًا لعزل وإدارة مجالات الأخطاء بشكل صحيح، خاصة عند تشغيل البنية الأساسية الحيوية.



Source link

صورة جالب الأخبار جالب الأخبار19 يوليو,2024
10 5 دقائق
صورة جالب الأخبار

جالب الأخبار

زر الذهاب إلى الأعلى