Il blackout globale di CrowdStrike: le indicazioni di Sophos

ProductsCrowdStrike

Il nostro punto di vista sull’accaduto e risposte alle principali domande dei Clienti e dei Partner Sophos.

23 Lug 2024 Autore:

Il 19 luglio 2024, CrowdStrike ha distribuito un “aggiornamento del contenuto” per i suoi clienti che utilizzano l’agente endpoint CrowdStrike Falcon su dispositivi Windows, causando l’interruzione del servizio a livello globale in organizzazioni che operano in diverse industrie, compresi settore bancario, trasporti, sanità e retail.

Di solito i cybercriminali considerano i malfunzionamenti e gli incidenti su vasta scala come opportunità preziose per approfittare delle vittime. In questo post, forniremo chiarimenti sull’accaduto in base alla prospettiva di Sophos, e risponderemo alle principali domande di approfondimento di Partner e Clienti.

L’obiettivo di tutte le aziende che operano nel settore della cybersecurity, tanto Sophos quanto i suoi competitor, è quello di proteggere e salvaguardare le organizzazioni contro gli utenti malintenzionati. Pur essendo in competizione sul piano commerciale, siamo soprattutto una comunità unita contro i criminali informatici, che sono il nostro nemico comune. In questo momento, estendiamo il nostro sostegno a CrowdStrike e auguriamo a tutte le organizzazioni colpite di poter riprendere rapidamente le attività e tornare presto alla normalità.

Quello della sicurezza informatica è un panorama incredibilmente complesso e in rapida evoluzione. “A chi di noi è direttamente coinvolto in attività a livello di kernel è probabilmente capitato una volta o un’altra, e a prescindere dalle misure precauzionali che adottiamo, non siamo mai immuni al 100%”, ha dichiarato Joe Levy, CEO di Sophos, su LinkedIn.

Riepilogo del problema

  • Il blackout non è stato né il risultato di un incidente di sicurezza di CrowdStrike, né un attacco informatico.
  • Sebbene non sia stato la conseguenza diretta di un incidente di sicurezza, la cybersecurity è composta da: riservatezza, integrità e disponibilità. La disponibilità è stata chiaramente compromessa, quindi può essere classificato come un malfunzionamento della cybersecurity.
  • Il problema, che ha provocato una schermata blu (Blue Screen of Death, BSOD) nei computer Windows, è stato causato da un aggiornamento del “contenuto” del prodotto, che è stato distribuito sui sistemi dei clienti di CrowdStrike.
  • È possibile che ad essere colpite siano state le organizzazioni che utilizzano gli agenti CrowdStrike Falcon su computer e server Windows. I dispositivi Linux e macOS non sono stati interessati da questo incidente.
  • CrowdStrike ha identificato il contenuto distribuito che ha causato questo problema, e ha quindi annullato tali modifiche. Per i clienti di CrowdStrike sono state pubblicate indicazioni per risolvere il problema.

Una nota sugli aggiornamenti del “contenuto”

Questo è stato un tipico aggiornamento del “contenuto” del software di protezione endpoint di CrowdStrike, ovvero il tipo di aggiornamento che molti vendor di software (tra cui Sophos) devono effettuare regolarmente.

Gli aggiornamenti del contenuto, talvolta chiamati aggiornamenti della protezione, migliorano la logica di difesa di un prodotto di endpoint security, nonché la capacità di tale prodotto di rilevare le minacce più recenti. In questa occasione, un aggiornamento del contenuto di CrowdStrike ha avuto conseguenze significative e impreviste. Tuttavia, nessun vendor di soluzioni software è infallibile e problemi simili possono riguardare (e riguardano) altri fornitori, indipendentemente dal settore in cui operano.

La risposta di CrowdStrike

CrowdStrike ha pubblicato una dichiarazione sul proprio sito web, che include indicazioni su come risolvere il problema per i propri clienti. Se i tuoi sistemi sono stati colpiti o se ricevi richieste dai tuoi clienti che utilizzano CrowdStrike, ti invitiamo a consultare questa pagina ufficiale di CrowdStrike:

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

Come sempre, è fondamentale essere vigili. I criminali informatici stanno registrando domini potenzialmente dannosi (typo-squatting) e utilizzando termini come “risoluzione del problema di CrowdStrike” nelle campagne di phishing, per cercare di far cadere in trappola le vittime. Se contatti CrowdStrike o ricevi una sua comunicazione, assicurati che il tuo interlocutore sia un rappresentante autorizzato.

I clienti Sophos sono stati colpiti dall’incidente di CrowdStrike?

I clienti che utilizzano Sophos per la protezione degli endpoint, compresi quelli che eseguono Sophos Endpoint with Sophos XDR o Sophos MDR, non hanno subito alcun impatto. Potrebbe essere stato coinvolto un numero limitato di clienti che utilizzano l’agente Sophos “XDR Sensor” (disponibile con Sophos XDR e Sophos MDR) come overlay su CrowdStrike Falcon.

Quali misure adotta Sophos per mitigare il rischio che si verifichi un’interruzione del servizio simile?

Ogni prodotto di protezione endpoint, incluso Sophos Endpoint, offre aggiornamenti regolari del prodotto e pubblica continuamente update (del contenuto) per la protezione. Le minacce si adattano rapidamente e gli aggiornamenti tempestivi della logica di protezione sono fondamentali per tenere il passo con un panorama delle minacce in costante evoluzione.

Sophos realizza soluzioni di protezione endpoint leader del settore da oltre tre decenni e ha tratto molti insegnamenti dagli incidenti subiti direttamente e dal settore della cybersecurity in passato. Grazie all’esperienza maturata, Sophos ha implementato processi e procedure efficaci per mitigare il rischio di interruzione del servizio per i clienti. Ciononostante, questo rischio non è mai pari a zero.

Prima di essere messi in produzione, tutti gli aggiornamenti dei prodotti Sophos vengono testati in ambienti interni, creati appositamente per il controllo qualità. Una volta in produzione, gli aggiornamenti dei prodotti vengono rilasciati internamente a tutti i dipendenti Sophos e nelle nostre infrastrutture a livello globale.

Solo una volta completati tutti i test interni e quando siamo sicuri che i criteri di qualità sono stati soddisfatti, l’aggiornamento verrà gradualmente rilasciato ai clienti. Il rilascio inizia lentamente, aumentando poi di velocità, e avviene in varie fasi nella base clienti. La telemetria viene raccolta e analizzata in tempo reale. In caso di problemi con un aggiornamento, è solo un numero limitato di sistemi a subirne l’impatto, e Sophos può effettuare il rollback molto rapidamente.

I clienti possono, facoltativamente, controllare gli aggiornamenti del prodotto Sophos Endpoint (non gli aggiornamenti della protezione) nelle impostazioni dei criteri di gestione degli aggiornamenti. Le opzioni per i pacchetti software includono “Consigliato” (gestito da Sophos), “Supporto a termine fisso” e “Supporto a lungo termine”, con la possibilità di programmare il giorno e l’ora in cui effettuare gli aggiornamenti.

Analogamente agli aggiornamenti dei prodotti, tutti gli aggiornamenti del contenuto di Sophos Endpoint vengono testati nei nostri ambienti di controllo qualità prima di essere rilasciati in produzione, e ogni rilascio viene esaminato per verificare che soddisfi i nostri standard di qualità. I rilasci che includono l’invio di contenuto ai clienti vengono implementati in più fasi nell’ambito dei nostri controlli continui di qualità; vengono inoltre monitorati e, all’occorrenza, modificati in base alla telemetria.

Sophos segue un ciclo di vita di sviluppo sicuro, per garantire che le nostre soluzioni vengano realizzate in maniera sicura ed efficiente, come descritto nel Sophos Trust Center. Per saperne di più sui principi di rilascio e sviluppo di Sophos Endpoint, consulta la nostra knowledge base.

Informazioni sull’autore

Sophos is a global leader and innovator of advanced security solutions that defeat cyberattacks, including Managed Detection and Response (MDR) and incident response services and a broad portfolio of endpoint, network, email, and cloud security technologies. As one of the largest pure-play cybersecurity providers, Sophos defends more than 600,000 organizations and more than 100 million users worldwide from active adversaries, ransomware, phishing, malware, and more. Sophos’ services and products connect through the Sophos Central management console and are powered by Sophos X-Ops, the company’s cross-domain threat intelligence unit. Sophos X-Ops intelligence optimizes the entire Sophos Adaptive Cybersecurity Ecosystem, which includes a centralized data lake that leverages a rich set of open APIs available to customers, partners, developers, and other cybersecurity and information technology vendors. Sophos provides cybersecurity-as-a-service to organizations needing fully managed security solutions. Customers can also manage their cybersecurity directly with Sophos’ security operations platform or use a hybrid approach by supplementing their in-house teams with Sophos’ services, including threat hunting and remediation. Sophos sells through reseller partners and managed service providers (MSPs) worldwide. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.