Globaler IT-Ausfall nach CrowdStrike-Panne: Stellungnahme von Sophos

ProdukteCrowdStrike

Unsere Einschätzung des Vorfalls und Antworten auf wichtige Fragen von Sophos-Kunden und -Partnern.

23.07.2024 Von

Am 19. Juli 2024 hat CrowdStrike ein „Content-Update“ bei Kunden eingespielt, die den CrowdStrike Falcon Endpoint-Agenten auf Windows-Geräten ausführen. Dies führte zu Ausfällen bei Unternehmen und Organisationen in diversen Branchen, u. a. im Fremdenverkehr, dem Finanzsektor, Gesundheitswesen und Einzelhandel.

Cyberkriminelle nutzen solche weitreichenden IT-Ausfälle häufig als Gelegenheit, um Opfer auszunutzen. In diesem Artikel erklären wir, wie Sophos den Vorfall einschätzt, und beantworten wichtige Fragen von unseren Kunden und Partnern.

Das Ziel aller Cybersecurity-Unternehmen – von Sophos und Wettbewerbern gleichermaßen – besteht darin, für die Sicherheit von Unternehmen und Organisationen zu sorgen und sie vor Angreifern zu schützen. Zwar konkurrieren wir auf kommerzieller Bühne miteinander, allen voran sind wir jedoch eine Gemeinschaft, die sich gegen den gemeinsamen Feind der organisierten Cyberkriminalität vereint. Wir sagen CrowdStrike in diesen schweren Zeiten unsere kollegiale Unterstützung zu und hoffen, dass alle betroffenen Unternehmen und Organisationen den Vorfall schnell beheben und zur Normalität zurückkehren können.

Die Cybersecurity-Landschaft ist hoch komplex und entwickelt sich in rasender Geschwindigkeit weiter. „Niemand von uns, der täglich an der Cybersecurity-Front kämpft und im Kernel Mode agiert, ist 100 % immun, egal, welche Vorkehrungen wir treffen“ , so Joe Levy, CEO von Sophos, auf LinkedIn.

Zusammenfassung des Problems

  • In diesem Fall handelte es sich nicht um einen Sicherheitsvorfall bei CrowdStrike und keinen Cyberangriff.
  • Obwohl die Panne nicht auf einen Sicherheitsvorfall zurückzuführen war, gründet Cybersecurity auf den Prinzipien von Vertraulichkeit, Integrität und Verfügbarkeit. Die Verfügbarkeit wurde eindeutig beeinträchtigt, daher sprechen wir in diesem Fall von einem Cybersecurity-Fehler.
  • Das Problem, das zu einem Bluescreen-of-Death (BSOD) auf Windows-Computern führte, wurde durch ein Produkt-„Content“-Update verursacht, das bei CrowdStrike-Kunden installiert wurde.
  • Unternehmen und Organisationen, die CrowdStrike-Falcon-Agenten auf Windows-Computern und -Servern ausführen, waren möglicherweise betroffen. Linux- und macOS-Geräte wurden nicht beeinträchtigt.
  • CrowdStrike identifizierte das Content Deployment im Zusammenhang mit diesem Problem und setzte die Änderungen wieder zurück. Empfehlungen zur Lösung des Problems wurden an CrowdStrike-Kunden herausgegeben.

Ein Hinweis zu „Content“-Updates

Dies war ein typisches Produkt-“Content“-Update für die Endpoint-Security-Software von CrowdStrike – ein Updatetyp, den viele Softwareanbieter (einschließlich Sophos) regelmäßig durchführen müssen.

Content-Updates, manchmal auch als Schutzupdates bezeichnet, verbessern die Schutzlogik eines Endpoint-Security-Produkts und dessen Fähigkeit, neueste Bedrohungen zu erkennen. In diesem Fall hatte ein Content-Update von CrowdStrike erhebliche unvorhergesehene Folgen. Allerdings ist kein Softwareanbieter unfehlbar, und Probleme wie diese können andere Anbieter unabhängig von der Branche betreffen.

Reaktion von CrowdStrike

CrowdStrike hat auf seiner Website eine Stellungnahme veröffentlicht, in der Kunden Empfehlungen zur Lösung des Problems erhalten. Wenn Sie von dem Problem betroffen sind oder Anfragen von Ihren Kunden erhalten, die CrowdStrike verwenden, besuchen Sie bitte diese offizielle CrowdStrike-Seite:

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

Wie immer ist Wachsamkeit von entscheidender Bedeutung. Cyberkriminelle registrieren potenziell schädliche Domänen („Typosquatting“) und setzen „CrowdStrike remediation“ in Phishing-Kampagnen ein, um Opfer auszunutzen. Wenn Sie sich an CrowdStrike wenden oder von CrowdStrike kontaktiert werden, prüfen Sie bitte, dass Sie mit einem autorisierten Vertreter des Unternehmens sprechen.

Waren Sophos-Kunden von dem CrowdStrike-Vorfall betroffen?

Kunden, die Sophos zum Schutz von Endpoints nutzen, einschließlich Kunden von Sophos Endpoint mit Sophos XDR oder Sophos MDR, waren nicht betroffen. Eine kleine Anzahl von Kunden, die den Sophos „XDR Sensor“-Agenten (verfügbar mit Sophos XDR und Sophos MDR) als Overlay ergänzend zu CrowdStrike Falcon verwenden, ist möglicherweise betroffen.

Was unternimmt Sophos, um das Risiko einer ähnlichen Serviceunterbrechung zu minimieren?

Jedes Endpoint-Protection-Produkt, einschließlich Sophos Endpoint, bietet regelmäßige Produkt-Updates und veröffentlicht kontinuierlich Schutz(Content)-Updates. Bedrohungen passen sich schnell an. Zeitnahe Updates der Schutzlogik sind daher unerlässlich, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten.

Sophos bietet seit mehr als drei Jahrzehnten führende Endpoint-Protection-Lösungen an und hat viele Lehren aus früheren Sophos- und Branchenvorfällen gezogen. Sophos verfügt über robuste Prozesse und Verfahren, um das Risiko von Ausfällen auf Kundenseite zu minimieren. Ein Restrisiko bleibt jedoch immer.

Bei Sophos werden alle Produkt-Updates in internen, speziell für diesen Zweck eingerichteten QA-Umgebungen getestet, bevor sie in die Produktion gehen. Produkt-Updates werden zunächst intern für alle Mitarbeiter und die Infrastruktur von Sophos weltweit veröffentlicht.

Erst wenn alle internen Tests abgeschlossen und wir überzeugt sind, dass das Update die Qualitätskriterien erfüllt, wird das Update schrittweise an Kunden freigegeben. Das Release beginnt in langsamen, vorsichtigen Schritten. Im späteren Verlauf wird der Prozess beschleunigt und die Bereitstellung wird über den gesamten Kundenstamm hinweg gestaffelt. Telemetriedaten werden in Echtzeit erfasst und analysiert. Wenn ein Problem mit einem Update auftritt, sind nur wenige Systeme betroffen und Sophos kann sehr schnell ein Rollback vornehmen.

Benutzer können Sophos Endpoint-Produkt-Updates (keine Schutz-Updates) optional mithilfe von Richtlinieneinstellungen zur Updateverwaltung steuern. Optionen für Software-Pakete umfassen „Empfohlen (Sophos-verwaltet)“, „zeitlich befristeter Support“ und „langfristiger Support“ mit der Möglichkeit, den Tag und die Uhrzeit zu planen, an dem Updates stattfinden sollen.

Wie bei Produkt-Updates werden alle Sophos Endpoint Content-Updates in unseren QA-Umgebungen getestet, bevor sie in die Produktion gehen. Jedes Release wird überprüft, um sicherzustellen, dass es unseren Qualitätsstandards entspricht. Content Releases für Kunden erfolgen stufenweise im Rahmen unserer laufenden QA-Kontrollen und wir überwachen und passen Releases auf Grundlage von Telemetriedaten nach Bedarf an.

Sophos folgt einem sicheren Entwicklungszyklus, um zu gewährleisten, dass unsere Lösungen sicher und effizient konzipiert werden. Einzelheiten hierzu finden Sie im Sophos Trust Center. Weitere Informationen zu den Release- und Entwicklungsprinzipien für Sophos Endpoint finden Sie in unserer Knowledgebase.

Informationen zum Autor

Sophos is a global leader and innovator of advanced security solutions for defeating cyberattacks, including Managed Detection and Response (MDR) and incident response services and a broad portfolio of endpoint, network, email, and cloud security technologies. As one of the largest pure-play cybersecurity providers, Sophos defends more than 600,000 organizations and more than 100 million users worldwide from active adversaries, ransomware, phishing, malware, and more. Sophos’ services and products connect through the Sophos Central management console and are powered by Sophos X-Ops, the company’s cross-domain threat intelligence unit. Sophos X-Ops intelligence optimizes the entire Sophos Adaptive Cybersecurity Ecosystem, which includes a centralized data lake that leverages a rich set of open APIs available to customers, partners, developers, and other cybersecurity and information technology vendors. Sophos provides cybersecurity-as-a-service to organizations needing fully managed security solutions. Customers can also manage their cybersecurity directly with Sophos’ security operations platform or use a hybrid approach by supplementing their in-house teams with Sophos’ services, including threat hunting and remediation. Sophos sells through reseller partners and managed service providers (MSPs) worldwide. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.