El 19 de julio de 2024, CrowdStrike lanzó una “actualización de contenido” para sus clientes que ejecutaban el agente de punto final CrowdStrike Falcon en dispositivos Windows, lo que provocó interrupciones en organizaciones de todo el mundo en múltiples industrias, incluidas viajes, banca, atención médica y comercio minorista.
Los actores de amenazas suelen utilizar interrupciones e incidentes a gran escala como oportunidades para aprovecharse de las víctimas. En esta publicación, brindamos claridad sobre la comprensión de Sophos sobre lo sucedido y respondemos preguntas clave de seguimiento de nuestros clientes y socios.
El objetivo de todas las empresas en el ámbito de la ciberseguridad, tanto Sophos como sus competidores, es mantener a las organizaciones seguras y protegerlas de los atacantes. Si bien competimos entre nosotros en el escenario comercial, somos –lo más importante– una comunidad unida contra los ciberdelincuentes como un enemigo común. Extendemos nuestro apoyo de pares a CrowdStrike en este momento y deseamos a todas las organizaciones afectadas una rápida recuperación y regreso a la normalidad.
La ciberseguridad es un panorama increíblemente complejo y en rápida evolución. “Para aquellos de nosotros con la piel en el juego de vivir en el núcleo, probablemente nos haya sucedido en un momento u otro, y cualesquiera que sean las medidas de precaución que tomemos, nunca somos 100% inmunes”, dijo Joe Levy, CEO de Sophos, en LinkedIn.
Resumen de asuntos
- Esto no fue el resultado de un incidente de seguridad en CrowdStrike ni fue un ciberataque.
- Aunque no fue resultado de un incidente de seguridad, la ciberseguridad consiste en confidencialidad, integridad y disponibilidad. La disponibilidad se vio claramente afectada, por lo que esto es categóricamente una falla de ciberseguridad.
- El problema, que resultó en una pantalla azul de la muerte (BSOD) en máquinas con Windows, fue causado por una actualización de “contenido” del producto implementada para los clientes de CrowdStrike.
- Es posible que las organizaciones que ejecutan agentes CrowdStrike Falcon en computadoras y servidores con Windows se hayan visto afectadas. Los dispositivos Linux y macOS no se vieron afectados por este incidente.
- CrowdStrike identificó la implementación de contenido relacionada con este problema y revirtió esos cambios. Se han emitido directrices de solución para los clientes de CrowdStrike.
Una nota sobre las actualizaciones de “contenido”
Esta fue una actualización típica del “contenido” del producto para el software de seguridad de endpoints de CrowdStrike, el tipo de actualización que muchos proveedores de software (incluido Sophos) necesitan realizar periódicamente.
Las actualizaciones de contenido, a veces denominadas actualizaciones de protección, mejoran la lógica de protección de un producto de seguridad de endpoints y su capacidad para detectar las amenazas más recientes. En esta ocasión, una actualización de contenido de CrowdStrike tuvo importantes consecuencias imprevistas. Sin embargo, ningún proveedor de software es infalible y problemas como este pueden afectar (y afectan) a otros proveedores, independientemente de la industria.
Respuesta de CrowdStrike
CrowdStrike ha emitido un comunicado en su sitio web con orientación sobre remediación para sus clientes. Si se ve afectado por el problema o recibe consultas de sus clientes que usan CrowdStrike, consulte esta página oficial de CrowdStrike:
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
Como siempre, la vigilancia es fundamental. Los ciberdelincuentes están registrando dominios potencialmente maliciosos (errores tipográficos) y utilizando la “remediación CrowdStrike” en campañas de phishing para tratar de aprovecharse de las víctimas. Si se comunica o es contactado por CrowdStrike, confirme que está hablando con un representante autorizado.
¿Los clientes de Sophos se vieron afectados por el incidente de CrowdStrike?
Los clientes que utilizan Sophos para la protección de endpoints, incluidos aquellos que utilizan Sophos Endpoint con Sophos XDR o Sophos MDR, no se vieron afectados. Es posible que un pequeño número de clientes que utilizan el agente “XDR Sensor” de Sophos (disponible con Sophos XDR y Sophos MDR) como superposición sobre CrowdStrike Falcon se hayan visto afectados.
¿Qué hace Sophos para mitigar el riesgo de sufrir una interrupción similar del servicio?
Todos los productos de protección de endpoints, incluido Sophos Endpoint, proporcionan actualizaciones periódicas del producto y publican continuamente actualizaciones de protección (contenido). Las amenazas se adaptan rápidamente y las actualizaciones oportunas de la lógica de protección son esenciales para mantenerse al día con el panorama de amenazas en constante evolución.
Después de haber proporcionado soluciones líderes de protección de endpoints durante más de tres décadas y haber aprendido muchas lecciones de incidentes pasados de Sophos y de la industria, Sophos cuenta con procesos y procedimientos sólidos para mitigar el riesgo de interrupción del cliente. Sin embargo, ese riesgo nunca es cero.
En Sophos, todas las actualizaciones de productos se prueban en entornos internos de control de calidad especialmente diseñados antes de lanzarse a producción. Una vez en producción, las actualizaciones del producto se publican internamente para todos los empleados y la infraestructura de Sophos en todo el mundo.
Solo una vez que se completen todas las pruebas internas y estemos satisfechos de que la actualización cumple con los criterios de calidad, la actualización se lanzará gradualmente a los clientes. El lanzamiento comenzará lentamente, aumentando en velocidad y escalonado entre la base de clientes. La telemetría se recopila y analiza en tiempo real. Si hay un problema con una actualización, solo una pequeña cantidad de sistemas se verán afectados y Sophos puede revertirla muy rápidamente.
Opcionalmente, los clientes pueden controlar las actualizaciones de productos Sophos Endpoint (no las actualizaciones de protección) mediante la configuración de la política de gestión de actualizaciones. Las opciones de paquetes de software incluyen Recomendado (administrado por Sophos), soporte de plazo fijo y soporte a largo plazo, con la capacidad de programar el día y la hora en que deben realizarse las actualizaciones.
Al igual que con las actualizaciones de productos, todas las actualizaciones de contenido de Sophos Endpoint se prueban en nuestros entornos de control de calidad antes de lanzarlas a producción, y cada versión se revisa para garantizar que cumpla con nuestros estándares de calidad. Los lanzamientos de contenido a los clientes se organizan como parte de nuestros controles de calidad continuos y monitoreamos y ajustamos los lanzamientos en función de la telemetría según sea necesario.
Sophos sigue un ciclo de vida de desarrollo seguro para garantizar que nuestras soluciones se creen de forma segura y eficiente, como se detalla en el Sophos Trust Center. Puede encontrar información adicional sobre los principios de lanzamiento y desarrollo de Sophos Endpoint en nuestra base de conocimientos.
Leave a Reply