يجب على مستخدمي Microsoft في جميع أنحاء العالم مراجعة حالة إعدادات أمان البنية التحتية الخاصة بهم في أعقاب تحديث برنامج CrowdStrike الفاشل الذي استغرق ملايين الساعات أجهزة Windows في جميع أنحاء العالم غير متصلة بالإنترنت يوم الجمعة 19 يوليو 2024.
كما ورد في منشور على مدونة كتبه نائب رئيس مايكروسوفت لأمن المؤسسات وأنظمة التشغيل، ديفيد ويستون، في 20 يوليو 2024“لم تكن هذه حادثة مايكروسوفت” بل حادثة “أثرت على نظامنا البيئي” وأدت إلى تعطيل الأعمال و”الروتين اليومي للعديد من الأفراد”.
وبحسب حسابات مايكروسوفت، تأثر بالحادثة نحو 8.5 مليون جهاز يعمل بنظام التشغيل ويندوز، وهو ما يعادل أقل من 1% من إجمالي أجهزة الكمبيوتر التي تعمل بنظام ويندوز على مستوى العالم.
وبينما قد تبدو هذه النسبة صغيرة في المخطط الكبير للأمور، قال أوين سايرز – وهو مستشار أمني مستقل يتمتع بخبرة تزيد عن 20 عامًا في تقديم المشورة للعملاء من القطاع العام والشرطة حول كيفية تأمين أنظمتهم – إن الأرقام المعنية “مرعبة” عندما تقترن بالمعلومات المستقاة من مدونة CrowdStrike الخاصة بالإبلاغ عن الحوادث.
كما أكدته “التفاصيل الفنية: تحديث محتوى Falcon لمضيفي Windows“وفقًا لمدونة، فإن تحديث البرنامج الفاسد الذي تسبب في انقطاع الخدمة يوم الجمعة 19 يوليو لم يكن متاحًا على الإنترنت سوى لمدة 78 دقيقة قبل إزالته واستبداله بإصدار تم إصلاحه. وقال سايرز: “لقد أثر على أقل من 1% من أجهزة Windows العالمية في ذلك الوقت – وهذا أمر مثير للإعجاب”، ولكنه أيضًا له آثار مقلقة على حالة أنظمة تكنولوجيا المعلومات العالمية لدينا.
إن معرفة أن خطأً في منتج أمني تابع لجهة خارجية يمكن أن يسبب الكثير من الفوضى في مثل هذه الفترة القصيرة من الزمن قد يمنح قراصنة الدول القومية بعض الغذاء للفكر حول كيفية شن موجة هجماتهم التالية.
“يقول سايرز: “إن الصينيين والروس يعرفون الآن كيفية إسقاط أنظمة تكنولوجيا المعلومات العالمية – ما عليك سوى العثور على منتج أمني يستخدمه هدفك وتعديل هذا الكود”، “وهناك احتمال كبير جدًا أن يؤدي ذلك إلى القضاء عليهم في غضون ساعة ونصف”.
اضطراب السفر
تسبب حادث CrowdStrike في تعطيل السفر وقد أثرت هذه المشكلة على العمليات اليومية لعيادات الأطباء العامين وتجار التجزئة والشركات الأخرى التي تستخدم تقنيات مايكروسوفت. وفي بعض الحالات، لا تزال آثارها محسوسة بعد أيام.
“يحب الناس التفكير في انقطاعات مثل هذه من حيث فترات اليوم الكامل أو حتى عطلة نهاية الأسبوع [of disruption being caused] “بسبب التأثير المستمر، ولكن عندما تقوم بتقطير السبب إلى أقل من ساعة ونصف، فإنه يصبح أكثر تأثيرًا”، كما قال سايرز.
“هذه المرة كان الخطأ في منتج تابع لجهة خارجية لا يستخدمه سوى عدد قليل جدًا من المؤسسات، ولكن انظر إلى حجم وانتشار الضرر.”
مع وضع هذا في الاعتبار، ماذا سيحدث إذا تعرض منتج تابع لجهة خارجية يتمتع بمعدلات استخدام أعلى داخل مجتمع مستخدمي مايكروسوفت لتحديث برمجي فاشل مماثل؟ أو إذا طرحت مايكروسوفت تحديثًا لنظام التشغيل أو حزمة خدمة لقاعدة مستخدميها والذي قد يؤدي إلى تعطل أجهزة عملائها بشكل مماثل؟
قد يبدو هذا سؤالاً مخيفاً، لكن إريك جرينير، المحلل الرئيسي في شركة جارتنر لرصد الأسواق للمهنيين التقنيين، أخبر مجلة Computer Weekly أن أي مورد لتكنولوجيا المعلومات “يتصل” بنواة Windows بطريقة مماثلة لـ CrowdStrike قد يعاني من مصير مماثل إذا أصدر تحديثًا معيبًا.
وقال “يمكنك حتى أن تذهب خطوة أعلى وتقول إن كل بائع يصدر تحديثًا لديه القدرة على إصدار “تصحيح سيئ”.
ولهذا السبب، قال جرينير إن هذا الموقف يجب أن يجعل صناعة البرمجيات بأكملها تتوقف للحظة للتأكد من أنها لن تصبح مثل CrowdStrike القادمة. وأضاف: “هذا هو الوقت المناسب للجميع في صناعة البرمجيات لمراجعة عمليات ضمان الجودة الخاصة بهم وكذلك عمليات اختبار تحديث البرامج، وتعزيزها بأفضل ما يمكنهم”.
حماية المستخدم
وقال ريتش جيبونز، رئيس تطوير سوق إدارة أصول تكنولوجيا المعلومات والمشاركة في شركة الاستشارات المستقلة لترخيص البرامج Synyega، إن مؤسسات المستخدم النهائي التي لم تتأثر أنظمة Windows الخاصة بها بالتحديث الذي صدر يوم الجمعة 19 يوليو يجب أن تنظر إلى الموقف باعتباره جرس إنذار وليس فرصة محظوظة.
“إذا تجنبت مؤسستك هذه المشكلة، [it is] “من المرجح أنهم ليسوا عملاء لشركة CrowdStrike، لذا اعتبروا هذا بمثابة جرس إنذار”، هذا ما قاله لـ Computer Weekly.
“لسوء الحظ، تتعرض جميع المؤسسات لخطر تأثر أعمالها سلبًا بارتكاب مورد تابع لجهة خارجية خطأً فادحًا. إن قبول هذه المخاطرة ووضع خطة قوية للتعافي من الكوارث واستمرارية الأعمال [strategy] “هو أمر أساسي ويجب أن يكون أولوية لكل عمل تجاري.”
وأضاف جيبونز أن وجود أنظمة قوية لإدارة أصول تكنولوجيا المعلومات (ITAM) وإدارة أصول البرامج (SAM) أمر ضروري أيضًا. “إن معرفة البرامج والأجهزة التي لديك، ومكانها، [as well as its] وأضاف أن “الدعم وحالة نهاية العمر، وآخر تصحيح ووقت التحديث والبيانات هي أيضًا عوامل أساسية في وجود خطة فعالة للتعافي من الكوارث واستمرارية الأعمال، سواء كانت الموارد محلية أو في السحابة داخل بيئات هجينة”.
وكما يشير جرينير من شركة جارتنر، فإن وجود استراتيجية للتعافي من الكوارث واستمرارية الأعمال أمر واحد، ولكن يتعين على الشركات أيضًا التأكد من اختبارها بانتظام.
“هذه ليست المرة الأخيرة التي يصدر فيها البائع “تصحيحًا سيئًا”، لذا للتخفيف من المخاطر، ستحتاج مؤسسات العملاء إلى مراجعة [these] وقال “إننا نعمل على تطوير استراتيجيات جديدة واختبارها فعليا للتأكد من أنها تلبي المعيار الذي نبحث عنه من حيث “الوقت المستغرق للتعافي”.
“يجب على المنظمات أيضًا اغتنام الفرصة لمراجعة التطبيقات الموجودة في بيئتها والتي تخضع للتحديث التلقائي وقياس العواقب المحتملة الناجمة عن “التحديث السيئ”.”
ولكن هذا لا يعني أن جرينير يدعو إلى إيقاف تشغيل وظيفة “التحديث التلقائي” بشكل شامل في جميع المؤسسات حول العالم للتخفيف من خطر حدوث هجوم CrowdStrike آخر.
وقال “يجب أن يتحدد ذلك من خلال مستوى قبول المخاطر في المؤسسة وما إذا كانت قادرة على تصحيح التطبيقات بنفسها”. “يجب أن يكون لدى المؤسسات جرد موثق للتطبيقات التي تم ضبطها على “التحديث التلقائي”، وما إذا كان بإمكانك إيقاف تشغيل “التحديث التلقائي” أم لا ومعرفة التأثير الذي قد يحدث إذا تم تسليم تحديث أو تصحيح سيئ لكل تطبيق تم ضبطه على “التحديث التلقائي”.
وأضاف جرينير: “إذا اختاروا تحديث التطبيقات يدويًا، فسوف يحتاجون أيضًا إلى بناء العمليات وسير العمل حول اختبار التحديثات لكل تطبيق”.
