.
Você tem problemas para configurar o Microsoft Defender? Você pode não estar sozinho: a Microsoft admitiu que o que quer que esteja usando para sua implementação defensiva exacerbou a instabilidade do Azure de ontem.
Devemos ressaltar que ninguém culpou o produto real chamado “Windows Defender”.
De acordo com a Microsoft, o evento inicial que desencadeou a queda de ontem, que destruiu grandes áreas da web, foi um ataque de negação de serviço distribuído (DDoS). Tais ataques dificilmente são inéditos, e uma indústria surgiu para afastá-los.
Um ataque DDoS visa sobrecarregar os recursos do sistema alvo. Geralmente envolve várias máquinas infectadas com malware inundando a vítima com tráfego de rede. Os administradores empregam vários métodos para diferenciar solicitações reais de tráfego malicioso, mas de acordo com o F5 Labs, ainda houve um crescimento explosivo em ataques DDoS em 2023.
“Os ataques cresceram tanto que, em média, as empresas podem lidar com um ataque DDoS cerca de onze vezes por ano, quase uma vez por mês”, disse o fornecedor de segurança.
A Microsoft publicou sua estratégia para se defender contra ataques DDoS baseados em rede, observando que era única devido à pegada global da empresa. A Microsoft disse que foi capaz de “utilizar estratégias e técnicas que não estão disponíveis para a maioria das outras organizações” graças a essa pegada, bem como extrair do conhecimento coletivo de uma extensa rede de ameaças.
“Essa inteligência, juntamente com informações coletadas de serviços online e da base global de clientes da Microsoft, aprimora continuamente o sistema de defesa DDoS da Microsoft, que protege todos os ativos dos serviços online da Microsoft.”
Isso pressupõe que a Microsoft tenha realmente implementado essa estratégia corretamente.
Para o evento de ontem, os mecanismos de proteção DDoS da Microsoft foram de fato acionados corretamente. No entanto, a resposta não foi tão boa. “Investigações iniciais sugerem que um erro na implementação de nossas defesas ampliou o impacto do ataque em vez de mitigá-lo”, admitiu a gigante do Windows ontem à noite.
O problema era global e afetou um subconjunto de clientes que tentavam se conectar a serviços, incluindo Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy, o próprio portal do Azure e um subconjunto de serviços do Microsoft 365 e Microsoft Purview.
De acordo com a Microsoft, o incidente durou aproximadamente de 1145 UTC a 1943 UTC, embora a empresa tenha calculado que a maior parte do impacto foi mitigada com sucesso por volta das 1410 UTC. O problema não foi, no entanto, declarado encerrado até 2048 UTC.
Entramos em contato com a Microsoft para saber mais sobre a implementação de suas defesas DDoS, mas a empresa ainda não respondeu. Uma Revisão Preliminar Pós-Incidente (PIR) deve ser entregue em aproximadamente 72 horas, e a empresa publicará uma PIR Final em cerca de duas semanas. ®
.
