Il 19 luglio 2024, CrowdStrike ha distribuito un “content update” ai suoi clienti che utilizzano l’agente endpoint CrowdStrike Falcon su dispositivi Windows, causando l’interruzione dell’attività di organizzazioni in tutto il mondo in diversi settori, tra cui trasporti, banche, sanità e vendita al dettaglio.
Gli aggressori usano comunemente le interruzioni e gli incidenti su larga scala come opportunità per trarre vantaggio dalle vittime. In questo post, forniamo chiarimenti sulla visione che Sophos ha dell’accaduto e rispondiamo alle principali domande dei nostri clienti e partner.
L’obiettivo di tutte le aziende che operano nel settore della cybersecurity, sia Sophos che i suoi concorrenti, è quello di mantenere le organizzazioni al sicuro e di proteggerle dagli aggressori. Pur essendo in competizione tra loro sul piano commerciale, siamo soprattutto una comunità unita contro i criminali informatici come nemico comune. Estendiamo il nostro sostegno a CrowdStrike in questo momento e auguriamo a tutte le organizzazioni colpite una rapida ripresa e il ritorno alla normalità.
La sicurezza informatica è un panorama incredibilmente complesso e in rapida evoluzione. “Per quelli di noi che hanno la possibilità di vivere nel kernel, è probabile che prima o poi ci sia capitato e, a prescindere dalle misure precauzionali che adottiamo, non siamo mai immuni al 100%”, ha dichiarato Joe Levy, CEO di Sophos, su LinkedIn.
Riepilogo del problema
- Questo non è stato il risultato di un incidente di sicurezza di CrowdStrike e non si è trattato di un attacco informatico.
- Anche se non è stato la conseguenza di un incidente di sicurezza, la cybersicurezza consiste in riservatezza, integrità e disponibilità. La disponibilità è stata chiaramente compromessa, quindi si tratta di un fallimento della cybersecurity.
- Il problema, che ha provocato un blue-screen-of-death (BSOD) sui computer Windows, è stato causato da un “content update” del prodotto distribuito ai clienti di CrowdStrike.
- Le organizzazioni che utilizzano gli agenti CrowdStrike Falcon su computer e server Windows potrebbero essere state colpite. I dispositivi Linux e macOS non sono stati interessati da questo incidente.
- CrowdStrike ha identificato il contenuto che ha causato questo problema e ha annullato tali modifiche. Ai clienti di CrowdStrike sono state fornite indicazioni per la soluzione del problema.
Una nota sui “content update”
Si trattava di un tipico “content update” del software di sicurezza degli endpoint di CrowdStrike, il tipo di update che molti fornitori di software (tra cui Sophos) devono effettuare regolarmente.
I “content update”, talvolta chiamati aggiornamenti della protezione, migliorano la logica di difesa di un prodotto per la sicurezza degli endpoint e la sua capacità di rilevare le minacce più recenti. In questo caso, un content update di CrowdStrike ha avuto conseguenze impreviste e significative. Tuttavia, nessun fornitore di software è infallibile e problemi come questo possono riguardare (e riguardano) altri fornitori, indipendentemente dal settore.
La risposta di CrowdStrike
CrowdStrike ha pubblicato una dichiarazione sul proprio sito web con una guida alla risoluzione del problema per i propri clienti. Se siete interessati dal fenomeno o se ricevete richieste dai vostri clienti che utilizzano CrowdStrike, fate riferimento a questa pagina ufficiale di CrowdStrike:
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
Come sempre, la supervisione è fondamentale. I criminali informatici stanno registrando domini potenzialmente dannosi (typo-squatting) e utilizzano “CrowdStrike remediation” nelle campagne di phishing per cercare di trarre vantaggio dalle vittime. Se si contatta o si viene contattati da CrowdStrike, accertarsi di parlare con un rappresentante autorizzato.
I clienti Sophos sono stati colpiti dall’incidente di CrowdStrike?
I clienti che utilizzano Sophos per la protezione degli endpoint, compresi quelli che utilizzano Sophos Endpoint con Sophos XDR o Sophos MDR, non hanno subito alcun impatto. Un piccolo numero di clienti che utilizzano l’agente Sophos “XDR Sensor” (disponibile con Sophos XDR e Sophos MDR) come overlay su CrowdStrike Falcon potrebbe essere stato coinvolto.
Cosa fa Sophos per mitigare il rischio di un’analoga interruzione del servizio?
Ogni prodotto di protezione degli endpoint, incluso Sophos Endpoint, fornisce aggiornamenti regolari del prodotto e pubblica continuamente update di protezione (content). Le minacce si adattano rapidamente e gli aggiornamenti tempestivi della logica di protezione sono essenziali per tenere il passo con un panorama di minacce in costante evoluzione.
Avendo fornito soluzioni di protezione degli endpoint leader del settore per oltre tre decenni e avendo tratto molti insegnamenti da precedenti incidenti di Sophos e del settore, la società dispone di solidi processi e procedure per mitigare il rischio di interruzione dell’attività dei clienti. Tuttavia, il pericolo non è mai nullo.
In Sophos, tutti gli aggiornamenti dei prodotti vengono testati in ambienti interni creati appositamente per garantire la qualità prima di essere messi in produzione. Una volta in produzione, gli aggiornamenti dei prodotti vengono rilasciati internamente a tutti i dipendenti e alle infrastrutture Sophos in tutto il mondo.
Solo una volta completati tutti i test interni e una volta accertato che soddisfa i criteri di qualità, l’aggiornamento verrà gradualmente rilasciato ai clienti. Il rilascio inizierà lentamente, aumenterà di velocità e sarà scaglionato tra i clienti. La telemetria viene raccolta e analizzata in tempo reale. In caso di problemi con un update, solo un numero limitato di sistemi sarà interessato e Sophos potrà effettuare il rollback molto rapidamente.
I clienti possono controllare gli aggiornamenti dei prodotti Sophos Endpoint (non quelli di protezione) utilizzando le impostazioni dei criteri di gestione degli update. Le opzioni del pacchetto software includono Consigliato (gestito da Sophos), Supporto a tempo determinato e Supporto a lungo termine, con la possibilità di programmare il giorno e l’ora in cui gli aggiornamenti devono avvenire.
Come per quelli dei prodotti, tutti gli aggiornamenti dei contenuti di Sophos Endpoint vengono testati nei nostri ambienti di garanzia della qualità prima di essere rilasciati in produzione, e ogni release viene esaminata per verificare che soddisfi i nostri standard di qualità. I rilasci di contenuti ai clienti sono scaglionati nell’ambito dei nostri continui controlli di QA e, se necessario, li monitoriamo e li modifichiamo in base alla telemetria.
Sophos segue un ciclo di vita di sviluppo sicuro per garantire che le nostre soluzioni siano sviluppate in modo sicuro ed efficiente, come descritto nel Sophos Trust Center. Ulteriori informazioni sui principi di rilascio e sviluppo di Sophos Endpoint sono disponibili nella nostra knowledgebase.