Em 19 de julho de 2024, a CrowdStrike lançou uma “atualização de conteúdo” para seus clientes que executam o agente de endpoint CrowdStrike Falcon em dispositivos Windows, resultando em interrupções para organizações em todo o mundo em vários setores, incluindo viagens, bancos, saúde e varejo.
Os atores da ameaça geralmente usam interrupções e incidentes em grande escala como oportunidades para tirar vantagem das vítimas. Nesta postagem, esclarecemos a compreensão da Sophos sobre o que aconteceu e respondemos às principais perguntas de acompanhamento de nossos clientes e parceiros.
O objetivo de todas as empresas do setor de segurança cibernética, tanto da Sophos quanto dos concorrentes, é manter as organizações seguras e protegê-las contra invasores. Embora compitamos uns com os outros no cenário comercial, somos – e o mais importante – uma comunidade unida contra os cibercriminosos como um inimigo comum. Estendemos nosso apoio à CrowdStrike neste momento e desejamos a todas as organizações afetadas uma rápida recuperação e retorno à normalidade.
A segurança cibernética é um cenário incrivelmente complexo e em rápida evolução. “Para aqueles de nós que vivem no jogo do kernel, isso provavelmente já aconteceu conosco uma vez ou outra, e quaisquer que sejam as medidas de precaução que tomemos, nunca estamos 100% imunes”, disse Joe Levy, CEO da Sophos, no LinkedIn.
Resumo do problema
- Isto não foi resultado de um incidente de segurança na CrowdStrike e não foi um ataque cibernético.
- Embora não tenha sido resultado de um incidente de segurança, a segurança cibernética consiste em confidencialidade, integridade e disponibilidade. A disponibilidade foi claramente afetada, portanto esta é categoricamente uma falha de segurança cibernética.
- O problema, que resultou em uma tela azul da morte (BSOD) em máquinas Windows, foi causado por uma atualização de “conteúdo” do produto lançada para clientes CrowdStrike.
- As organizações que executam agentes CrowdStrike Falcon em computadores e servidores Windows podem ter sido afetadas. Os dispositivos Linux e macOS não foram afetados por este incidente.
- CrowdStrike identificou a implantação de conteúdo relacionado a esse problema e reverteu essas alterações. Orientações de remediação foram emitidas para clientes CrowdStrike.
Uma nota sobre atualizações de “conteúdo”
Esta foi uma atualização típica de “conteúdo” de produto para o software de segurança de endpoint da CrowdStrike – o tipo de atualização que muitos fornecedores de software (incluindo a Sophos) precisam fazer regularmente.
As atualizações de conteúdo, às vezes chamadas de atualizações de proteção, melhoram a lógica de proteção de um produto de segurança de endpoint e sua capacidade de detectar as ameaças mais recentes. Nesta ocasião, uma atualização de conteúdo do CrowdStrike teve consequências imprevistas significativas. No entanto, nenhum fornecedor de software é infalível e questões como esta podem (e afetam) outros fornecedores, independentemente do setor.
Resposta CrowdStrike
CrowdStrike emitiu um comunicado em seu site com orientações de correção para seus clientes. Se você for afetado pelo problema ou receber perguntas de seus clientes que usam o CrowdStrike, consulte esta página oficial do CrowdStrike:
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
Como sempre, a vigilância é crítica. Os cibercriminosos estão registrando domínios potencialmente maliciosos (typo-squatting) e usando a “remediação CrowdStrike” em campanhas de phishing para tentar tirar vantagem das vítimas. Se você entrar em contato ou for contatado pela CrowdStrike, confirme que está falando com um representante autorizado.
Os clientes da Sophos foram impactados pelo incidente CrowdStrike?
Os clientes que usam o Sophos para proteção de endpoint, incluindo aqueles que usam o Sophos Endpoint com Sophos XDR ou Sophos MDR, não foram afetados. Um pequeno número de clientes que usam o agente “XDR Sensor” da Sophos (disponível com Sophos XDR e Sophos MDR) como uma sobreposição no CrowdStrike Falcon pode ter sido afetado.
O que a Sophos faz para mitigar o risco de uma interrupção de serviço semelhante?
Cada produto de proteção de endpoint, incluindo o Sophos Endpoint, fornece atualizações regulares do produto e publica continuamente atualizações de proteção (conteúdo). As ameaças se adaptam rapidamente e as atualizações oportunas da lógica de proteção são essenciais para acompanhar o cenário de ameaças em constante evolução.
Tendo fornecido soluções líderes de proteção de endpoints por mais de três décadas e aprendido muitas lições com a Sophos passada e incidentes do setor, a Sophos possui processos e procedimentos robustos para mitigar o risco de interrupção do cliente. No entanto, esse risco nunca é zero.
Na Sophos, todas as atualizações de produtos são testadas em ambientes internos de garantia de qualidade especialmente desenvolvidos antes de serem lançadas em produção. Uma vez em produção, as atualizações do produto são lançadas internamente para todos os funcionários e infraestrutura da Sophos em todo o mundo.
Somente quando todos os testes internos forem concluídos e estivermos satisfeitos de que a atualização atende aos critérios de qualidade, a atualização será liberada gradualmente para os clientes. O lançamento começará lentamente, aumentando em velocidade e escalonado em toda a base de clientes. A telemetria é coletada e analisada em tempo real. Se houver um problema com uma atualização, apenas um pequeno número de sistemas será afetado e o Sophos poderá reverter muito rapidamente.
Opcionalmente, os clientes podem controlar as atualizações do produto Sophos Endpoint (não as atualizações de proteção) usando configurações de política de gerenciamento de atualizações. As opções de pacote de software incluem suporte recomendado (gerenciado pela Sophos), suporte de prazo fixo e suporte de longo prazo, com a capacidade de agendar o dia e a hora em que as atualizações devem ocorrer.
Tal como acontece com as atualizações de produtos, todas as atualizações de conteúdo do Sophos Endpoint são testadas em nossos ambientes de garantia de qualidade antes de serem lançadas em produção, com cada versão revisada para garantir que atenda aos nossos padrões de qualidade. Os lançamentos de conteúdo para os clientes são realizados como parte de nossos controles contínuos de controle de qualidade e monitoramos e ajustamos os lançamentos com base na telemetria, conforme necessário.
A Sophos segue um ciclo de vida de desenvolvimento seguro para garantir que nossas soluções sejam construídas de forma segura e eficiente, detalhado no Sophos Trust Center. Informações adicionais sobre os princípios de lançamento e desenvolvimento do Sophos Endpoint podem ser encontradas em nossa base de conhecimento.