ماذا تعلمنا من جلسة الاستماع في الكونجرس لـ CrowdStrike؟
في 24 سبتمبر، أجاب آدم مايرز، نائب الرئيس الأول لعمليات مكافحة الخصوم في CrowdStrike، على الأسئلة خلال جلسة استماع للجنة الفرعية للأمن السيبراني وحماية البنية التحتية بشأن انقطاع تكنولوجيا المعلومات العالمية التي تسببت في اضطراب واسع النطاق، ابتداء من 19 يوليو.
لقد أثر الانقطاع 8.5 مليون جهاز يعمل بنظام ويندوز في جميع أنحاء العالم، مما يؤدي إلى إغراق الشركات والخدمات الحيوية في حالة من الفوضى. وتقدر شركة التأمين Parametrix أن الانقطاع تسبب في شركات Fortune 500 5.4 مليار دولار خسائر.
ونظراً للحجم والتكلفة غير المسبوقين للانقطاع، كان لا مفر من تشكيل الحكومة. ماذا تعلمنا من جلسة استماع بث مباشر حول الحادث وخطط CrowdStrike لمنع حدوث أي شيء مثله في المستقبل؟
CrowdStrike يتحمل المسؤولية
تحملت CrowdStrike المسؤولية عن انقطاع الخدمة في أعقابه مباشرة. أصدر مؤسس الشركة ومديرها التنفيذي جورج كورتز أ إفادة في 19 يوليو اعتذر عن الحادث. لكنه لم يكن الشخص الذي يجيب على الأسئلة في الجلسة.
“لقد كان صادمًا بعض الشيء بالنسبة لي أن الرئيس التنفيذي جورج كورتز لم يوافق على الإدلاء بشهادته أيضًا،” جوش آرون، الرئيس التنفيذي لشركة ايدن تكنولوجيز، وهي شركة تقدم حلول أتمتة تكنولوجيا المعلومات لبيئات ويندوز، تقول InformationWeek.
حافظ مايرز على هذا الموقف الاعتذاري في كل من استعداداته شهادة الشهود وردوده على أعضاء اللجنة الفرعية بالكونغرس. وأكد أيضًا أن الانقطاع لم يكن خرقًا أو نتيجة لهجوم إلكتروني.
أصدرت CrowdStrike سابقًا ملف تحليل السبب الجذري الحادث، وأجاب مايرز على الأسئلة المتعلقة بالسبب خلال جلسة الاستماع. أدى تحديث تكوين المحتوى إلى حدوث انقطاع عالمي تاريخي. أرسلت الشركة تكوينات جديدة للكشف عن التهديدات إلى أجهزة الاستشعار التي تعمل على أجهزة Microsoft Windows، لكن محرك قواعد مستشعر Falcon الخاص بها لم يفهم التكوينات.
“فكر في رقعة الشطرنج، التي تحاول نقل قطعة شطرنج إلى مكان لا يوجد فيه مربع. وأوضح مايرز خلال جلسة الاستماع أن هذا ما حدث بالفعل داخل المستشعر. “لذلك، عندما حاولت معالجة القاعدة، لم تكن قادرة على القيام بما طلبت منه القاعدة القيام به، مما أدى إلى حدوث المشكلة داخل المستشعر.”
التغييرات على طريقة نشر التحديثات
تم التحقق من صحة التكوينات التي تسببت في انقطاع الخدمة من خلال الإجراءات القياسية للشركة. شارك مايرز أن “…أداة التحقق نفسها كانت موجودة منذ أكثر من عقد من الزمان، وقمنا بإصدار 10 إلى 12 من هذه التحديثات كل يوم منذ أن بدأنا في استخدام تحديثات التكوين.”
لكن “العاصفة الكاملة” من المشكلات تسببت في فشل المستشعر.
“أعتقد أن مايرز قام بعمل جيد في الشرح… لقد كانت هذه عاصفة مثالية للمؤسسة وأداة التحقق التي كانت قيد الاستخدام لمدة 10 سنوات… عملت بشكل موثوق حتى توقفت عن العمل،” هارولد ريفاس، رئيس أمن المعلومات في شركة الأمن السيبرانيتريليكس“، يقول InformationWeek. “وبالطبع، يمكن أن تحدث أحداث البجعة السوداء هذه. لذا، ينبغي أن يكون هذا حافزًا للصناعة ككل للقول: “أين يمكنني رؤية هذا النوع من التأثير داخل منتجي، داخل الحل الذي أطرحه؟”
بالنسبة إلى CrowdStrike، يعني هذا إجراء تغييرات على طريقة نشر تحديثات المحتوى. ومن الآن فصاعدا، ستستفيد الشركة من نظام الحلقات متحدة المركز وستوفر لعملائها المزيد من التحكم.
ستخضع تحديثات برامج الاستشعار ومحتوى الاستجابة السريعة للاختبار الداخلي قبل طرحها للمستخدمين الأوائل. بعد ذلك، سيتم توزيع هذه التحديثات على مجموعات أكبر بشكل متزايد.
يقول ريفاس: “أعتقد أنهم يتخذون خطوة مهمة في توفير قدر أكبر من التحكم لعملائهم من خلال تقديم فكرة المتبنين الأوائل لهذه الفكرة”.
أسئلة اللجنة للوصول إلى Kernel
سألت اللجنة الفرعية التابعة للكونجرس بعض الأسئلة الفنية إلى حد ما حول وصول CrowdStrike إلى kernel: هل هذا ضروري؟ هل هو خطير؟ هل هناك بدائل؟
أخبر مايرز اللجنة الفرعية أن رؤية النواة أمر بالغ الأهمية عند محاولة تأمين أنظمة التشغيل والتأكد من عدم وصول الجهات الفاعلة في مجال التهديد إلى النواة والتلاعب بأدوات الأمان.
“في نهاية المطاف، لا يمكن لـ CrowdStrike العمل إلا إذا كان على مستوى النواة. هذه هي الطريقة التي يعمل بها نظام الاستجابة للكشف عن نقطة النهاية. “ولا توجد طريقة لتغيير ذلك حقًا،” مايكل ماكلولين، مدير العلاقات الحكومية والقائد المشارك لمجموعة ممارسات الأمن السيبراني وخصوصية البيانات في شركة محاماة بوكانان انجرسول وروني“، يوضح عقب جلسة الاستماع. “وبالتالي فإن الشيء الوحيد الذي يمكن لـ CrowdStrike فعله هو التأكد من أن أي كود يتم حقنه في تلك المرحلة قد خضع لاختبارات صارمة وأن آليات مراقبة الجودة موجودة.”
التعويض للأطراف المتضررة
لقد طرح مايرز سؤالًا حول “جعل الضحايا كاملين”، لكننا لم نكتسب سوى القليل من المعرفة حول الشكل الذي يمكن أن يبدو عليه ذلك.
شارك مايرز أن CrowdStrike ركزت على تشغيل عملائها. وأعاد التأكيد على اعتذارات الشركة وتحدث عن إعادة بناء الثقة. لكنه لم يتحدث عن أي إجراءات قانونية أو تغطية تأمينية.
“أتصور أنهم [CrowdStrike] يقول ماكلولين: “إنهم… يعملون من خلال نوع من التسوية أو يعملون من خلال بوليصة التأمين الخاصة بهم لتحديد كيفية جعل عملائهم متكاملين”. ويشير أيضًا إلى أن عقود العملاء من المحتمل أن تحتوي على شروط التعويض والحد من المسؤولية.
قد يمضي بعض العملاء قدمًا في اتخاذ الإجراءات القانونية. دلتا، على سبيل المثال، علنا اتصل بالشركة.
يقول ماكلولين: “هذه الأنواع من الدعاوى التي تُنفَّذ لمرة واحدة… أعتقد أنها ستستمر، وربما يتعين على CrowdStrike محاربتها”.
زيادة التركيز على نقاط الفشل الفردية
كانت حادثة CrowdStrike مذهلة. قد يكون لقضية واحدة تبدو صغيرة، تداعيات هائلة على أنظمة تكنولوجيا المعلومات في جميع أنحاء العالم. كان لدى اللجنة الفرعية التابعة للكونجرس تساؤلات حول نقاط الفشل الفردية وقابلية تعرضها للخطأ البسيط أو الجهات الفاعلة الخبيثة.
إن تحديد نقاط الفشل الفردية هذه، والتي توجد بشكل يتجاوز مجرد CrowdStrike، والتخفيف من مخاطرها، هو “رياضة جماعية”، وفقًا لمايرز.
للبائعين دور يلعبونه في تقييم أنظمتهم. “أعتقد أن هذا لن يجبر CrowdStrike فحسب، بل جميع بائعي EDR… على إلقاء نظرة جادة على الطريقة التي يضعون بها [out] يقول آرون: “تحديثات سريعة”.
ويشير ماكلولين أيضًا إلى دور الحكومة. ويقول: “يتعين على الحكومة أن تتدخل وتقول: انظروا، هذه… نقاط الاختناق التي نخلقها… نقاط الفشل الفردية هذه، ستكون هي ما تستهدفه الدول القومية”. “كيف يمكننا التخفيف من ذلك؟”