.
Se os administradores aprenderam alguma coisa com o caos da CrowdStrike, foi entender exatamente o que atualizações atrasadas significam — ou não significam — no mundo antimalware.
Uma das razões pelas quais a atualização do CrowdStrike causou tantos problemas foi que os administradores presumiram que a atualização defeituosa teria sido retirada e corrigida muito antes de causar problemas em seus sistemas. Muitas estavam alegremente rodando em N-2 ou N-1, o que significa que estavam definidas para usar uma versão de lançamento duas ou uma atrás da mais recente.
Na sexta-feira, 19 de julho, um especialista em segurança que atendia a um fluxo de chamadas de clientes alarmados nos disse: “Todo cliente gerenciado do CrowdStrike é N-2. Está até nos documentos de suporte deles como uma recomendação.”
No entanto, os sistemas Windows ao redor do mundo começaram a apresentar loops de inicialização da Tela Azul da Morte quando uma atualização do CrowdStrike fez sua atualização global.
O problema para muitos usuários era entender que a política de versão se aplicava apenas a parte do sistema CrowdStrike. Um postou: “Aprendemos que a política N-1 que tínhamos em vigor se aplica apenas a atualizações de agentes, e não a arquivos de assinatura.”
“Até onde sabemos, não há uma boa maneira de atrasar o envio dos arquivos de assinatura, por isso todos receberam o arquivo de assinatura em 18/07 às 23:09 (horário central) que explodiu o mundo na hora seguinte.”
Outros reclamaram: “O Crowdstrike substituiu as configurações do cliente em implantações N-1/N-2 (ou seja, preparou 1 ou 2 versões anteriores à atual) para esta versão.”
Outro usuário, notando que havia configurado o CrowdStrike para ficar uma versão atrás em infraestrutura não crítica e duas versões atrás em infraestrutura crítica, disse tristemente: “Fomos afetados de qualquer maneira porque era um ‘arquivo de conteúdo’ e, portanto, ignoramos nossas restrições de atualização automática.”
Embora frases como “traição de confiança” tenham sido lançadas, parece que nem todos os administradores entenderam a cadência de atualização aplicada ao software e não o canal usado para assinaturas. Afinal, há boas razões pelas quais um cliente desejaria os arquivos de assinatura mais atualizados, considerando a velocidade com que o malware evolui.
Sharon Martin, CEO da Managed Nerds, estava no processo de criar uma avaliação do CrowdStrike para determinar se era algo a ser oferecido aos clientes, assim como a onda da Tela Azul da Morte começou. Como ficou claro que sistemas críticos estavam em risco devido ao arquivo de assinatura rebelde, independentemente da cadência de atualização, Martin disse: “Se o CrowdStrike fosse a única solução EDR restante no mundo, eu escolheria o ransomware em vez dele.
“É uma ferramenta na pilha de segurança que quebrou completamente os sistemas afetados sem aviso. Não havia nenhuma indicação no início de como ou quando a recuperação poderia ser obtida. As informações fluíam tão lentamente que alguns não tinham certeza se deveriam esperar por uma correção ou apenas prosseguir e refazer a imagem da máquina.
“A maioria das informações que fluíam era para seus maiores parceiros ou por trás de seu portal de documentação com muro de login, que não é pesquisável publicamente. É por isso que algumas organizações não sabiam se deveriam mandar seus funcionários para casa naquele dia ou não na sexta-feira.”
Jamil Ahmed, engenheiro renomado da Solace, destacou o dilema enfrentado pelos administradores. “n-2 para software significa que você está adotando uma visão conservadora e cautelosa de não executar a versão mais recente.
“No entanto… é do seu interesse obter as últimas definições de novas ameaças e vírus o mais rápido possível, sem demora. Este é o cerne da luta aqui. É o processamento daquela nova definição que teve o bug e causou o BSOD.”
O planejamento para desastres e atualizações de preparação é essencial. Usar anéis de implantação para aplicar atualizações a alguns dispositivos primeiro é comum. Analistas, incluindo Mary Jo Foley, da Directions on Microsoft, listaram a prática como uma lição a ser aprendida com o colapso da CrowdStrike.
No entanto, a encenação só irá até certo ponto quando houver um canal separado que envie atualizações de assinatura em uma cadência diferente.
Basta perguntar a qualquer um dos administradores que tiveram que lidar com as consequências. ®
.
