الأخبار

انقطاع تكنولوجيا المعلومات في CrowdStrike يوضح سبب أهمية المرونة السيبرانية

أدى تحديث المحتوى الذي تم تكوينه بشكل خاطئ والذي أصدرته CrowdStrike في وقت متأخر من يوم الخميس إلى حدوث انقطاعات في جميع أنحاء العالم عن غير قصد عبر أنظمة Microsoft Windows، مما أدى إلى توقف العديد من الخدمات الأساسية في العالم عن العمل.

كانت CrowdStrike تحاول تحديث المحتوى الذي يستخدمه Falcon Sensor للكشف عن التهديدات في الوقت الفعلي وحماية نقطة النهاية من خلال مراقبة أنشطة النظام التي تحدد السلوك المشبوه لمنع الهجمات الإلكترونية. يحتوي تحديث المحتوى على منطق مصمم لضبط اكتشاف الأنشطة الضارة ويعتمد على أحدث معلومات التهديدات التي يجمعها CrowdStrike في الوقت الفعلي وبشكل مستمر.

"لم يكن هذا تحديثًا للكود. كان هذا في الواقع تحديثًا للمحتوى. وما يعنيه ذلك هو أن هناك ملفًا واحدًا يقود بعض المنطق الإضافي حول كيفية بحثنا عن الجهات الفاعلة السيئة". "وقد تم دفع هذا المنطق وتسبب في مشكلة فقط في بيئة Microsoft"، هذا ما قاله الرئيس التنفيذي ومؤسس CrowdStrike جورج كورتز لجيم كريمر خلال مقابلة على قناة CNBC في وقت سابق يوم الجمعة.
 
تأثير عالمي فوري
تم رصد الانقطاع لأول مرة في أستراليا، حيث تعطلت أجهزة Windows وعرضت شاشة الموت الزرقاء (BSOD) Blue Screen of Death. أدى التحديث الخاطئ إلى انقطاع نظام Windows في جميع أنحاء العالم، مما أثر على العشرات من المطارات وشركات الطيران والمؤسسات المصرفية وشركات الخدمات التي تعتمد جميعها على الأنظمة المستندة إلى Windows لتشغيل أعمالها. مئات الآلاف من المسافرين تقطعت بهم السبل في المطارات حول العالم. تم إلغاء ما يقرب من 2600 رحلة جوية أمريكية حتى بعد ظهر يوم الجمعة، وتم إلغاء أكثر من 4200 رحلة جوية على مستوى العالم بناءً على بيانات FlightAware كما ذكرت صحيفة وول ستريت جورنال.

انتشرت تأثيرات انقطاع تكنولوجيا المعلومات أيضًا عبر النظام الأساسي السحابي لـ Microsoft Azure. اشتكى عملاء Azure من أنهم "يعانون من عدم الاستجابة وفشل بدء التشغيل على أجهزة Windows باستخدام وكيل CrowdStrike Falcon، مما يؤثر على كل من الأنظمة الأساسية المحلية والمنصات السحابية المختلفة". تُظهر حالة Azure أن انقطاع الخدمة لا يزال يؤثر على أجهزة Azure الافتراضية عبر المناطق الأربع في أمريكا وأوروبا وآسيا والمحيط الهادئ والشرق الأوسط وأفريقيا.

تنتظر فرق تكنولوجيا المعلومات عطلة نهاية أسبوع طويلة وشهر يوليو صعبًا، حيث ستتطلب العديد من التكوينات المستندة إلى السحابة تحديثات فردية لكل عميل يقوم بتشغيل نظام قائم على السحابة. امنح فرق تكنولوجيا المعلومات فترة راحة، وإذا أمكن، قم بتأجيل أي مشاريع واسعة النطاق حتى يتم حل مشكلة التكوين الخاطئ.
 
يجب أن يكون الانقطاع بمثابة دعوة للعمل من أجل قدر أكبر من المرونة السيبرانية
كلما زادت مرونة الأعمال الإلكترونية، زادت قدرتها على التوقع والصمود والتعافي من مجموعة واسعة من الظروف المعاكسة، بما في ذلك الهجمات والتطفل والتسويات. غالبًا ما يقع على عاتق مدراء تكنولوجيا المعلومات مسؤولية التعامل مع المرونة السيبرانية كجزء أساسي من أدوارهم في الإدارة العليا، وبشكل متزايد، في مجالس الإدارة.

"في نهاية المطاف، تواجه كل مؤسسة تحديات تتعلق بتصحيح الإيقاع. اليوم هو يوم CrowdStrike السيئ، وأصبح يومًا سيئًا للكثير من الأشخاص. وقال ميريت باير، كبير مسؤولي تكنولوجيا المعلومات في Reco ومستشار Expanso وAndesite وEnkryptAI: "إن حقيقة أن Crowdstrike طلبت من عملائها النهائيين القيام بالعمل لتحسين الأمر قد وفرت المزيد من الوقت للاستجابة والوقت للمعالجة".

قال كوري دانيلز، كبير مسؤولي تكنولوجيا المعلومات في شركة Trustwave، مؤخرًا إن "مجالس الإدارة بدأت في طرح السؤال: هل من المهم أن يكون لديك منصب كبير مسؤولي المرونة بشكل رسمي؟".  إن المزيد من مجالس الإدارة تضيف المرونة السيبرانية إلى فرق مشروع إدارة المخاطر الأوسع لديها. تعد هجمات برامج الفدية رفيعة المستوى التي تسبب الفوضى عبر سلاسل التوريد من بين الهجمات الأكثر تكلفة التي تتحملها أي شركة، كما يوضح اختراق United Healthcare.

تسلط الانقطاعات الناجمة عن التكوينات الخاطئة الضوء على الحاجة إلى شكل فريد من أشكال المرونة السيبرانية التي يتم متابعتها بنشاط بحيث تصبح جزءًا أساسيًا من الحمض النووي للشركة. ستستمر التحديثات التي تم تكوينها بشكل خاطئ في التسبب في انقطاع الخدمة على مستوى العالم. يتماشى ذلك مع عالم يعمل دائمًا وفي الوقت الفعلي والذي تحدده أنظمة معقدة ومتكاملة. "الحجم كبير ولكن المصدر كبير أيضًا - على سبيل المثال، كان Snowflake بسبب تكوينات خاطئة في SaaS، وكان SolarWinds عبارة عن هجوم على سلسلة التوريد مدعومة من روسيا. قال باير: “هذا ألم أمني قديم جيد”.

إن الانقطاع العالمي الذي حدث هذا الأسبوع هو ما سيبدو عليه هجوم الدولة القومية إذا كان الأمن السيبراني للدولة ضعيفًا أو غير موجود. للحصول على لمحة عما هو على المحك عندما يتعلق الأمر بالمرونة السيبرانية الوطنية والدفاع السيبراني، راجع تقييم التهديدات السنوية لعام 2024 الذي صدر مؤخرًا لمجتمع الاستخبارات الأمريكي.

تحتاج المرونة السيبرانية، استجابةً للتكوينات الخاطئة، إلى تحديد المشكلات وتعريفها بسرعة، وتحديد الإصلاح (من الأفضل على نطاق يمكن أتمتته)، والإفراط في التواصل مع كل عميل وشخص متأثر. إن الحصول على المرونة الداخلية السيبرانية بالشكل الصحيح يحتاج إلى دعم من خلال تقارير دقيقة يسهل على الجميع الوصول إليها وفي الوقت الفعلي قدر الإمكان. يجب أن يكون الهدف هو منح جميع المشاركين في التحديثات فرصة لامتلاك النتيجة ومعرفة اكتمال اختبار الانحدار والاختبار عبر الأنظمة الأساسية الشريكة.

"في وقت سابق من اليوم، عانت خدمة CrowdStrike’s Falcon من انقطاع عالمي مؤسف مما أثر على العديد من العملاء الذين يستخدمون البرنامج على أنظمة Windows. قال بول ديفيس، كبير مسؤولي أمن المعلومات الميداني في JFrog: "إن الإجراء السريع الذي اتخذه فريق الاستجابة للحوادث في CrowdStrike لتحديد السبب الجذري وإخطار العملاء بسرعة أمر يستحق الثناء، وكانت مدونة الرئيس التنفيذي للشركة صادقة وواضحة".

يواصل كورتز نشر التحديثات عبر منصات التواصل الاجتماعي X وLinkedIn. في أحدث منشور X أدناه، يلتزم بتقديم تحليل السبب الجذري لكيفية حدوث الانقطاع.
 

"في عالم الأمن، يجب على المرء دائمًا أن يكون مستعدًا لما هو غير متوقع وأن يكون لديه خطة للحوادث لتلك الأحداث المفاجئة. لا يوجد شيء اسمه برنامج مثالي. ففي نهاية المطاف، البرمجيات هي من صنع البشر، والخطأ هو من صنع البشر. قال ديفيس: "إن الأمر الأكثر أهمية هو مدى سرعة تحديد المشكلة والتعافي منها".

استعادة النظام الخاص بك
في وقت سابق من اليوم، نشرت CrowdStrike تعليمات على موقعها لاستعادة الأنظمة المتأثرة بالانقطاع وللعثور على الأنظمة أو المضيفين المتأثرين بالتحديث الذي تمت تهيئته بشكل خاطئ.

ستحتاج إلى تشغيل أي جهاز متأثر في الوضع الآمن أولاً. تعد هذه الخطوة ضرورية لأن برنامج Falcon Sensor، الذي يحتاج إلى التحديث، مضمن ضمن دليل فرعي لنظام التشغيل Windows. يعد التشغيل في الوضع الآمن أمرًا ضروريًا للوصول إلى هذا الدليل الفرعي وإجراء التحديثات اللازمة.

إذا كان جهاز الكمبيوتر المتأثر يستخدم BitLocker أو أي برنامج آخر لتشفير القرص بالكامل (FDE)، فستحتاج إلى مفتاح الاسترداد لكل جهاز. توصي CrowdStrike بالخطوات التالية في منشور مدونتها الذي يوضح بالتفصيل كيفية استرداد جهاز متأثر:
 

إن المرونة السيبرانية هي وكيل لثقة العملاء
"يحتاج بائعو الخدمات الأمنية إلى فهم أنهم يحتفظون بنتائج العملاء في أيديهم. قال باير: "أتخيل أن Crowdstrike لن يدفع التحديثات بنفس الطريقة في المستقبل". يستمر انقطاع التيار الكهربائي في جميع أنحاء العالم في تعطيل حياة مئات الآلاف من الأشخاص وإجبار الشركات على التوقف. بدءًا من متاجر المصممين الذين يعتمدون على الأنظمة المستندة إلى السحابة للتواصل مع عملائهم وحتى المؤسسات واسعة النطاق التي تضم الآلاف من الزملاء غير القادرين على تسجيل الدخول، توضح تجارب اليوم أن المرونة السيبرانية هي أكثر من مجرد مبادرة أمنية. يجب أن يكون حجر الزاوية في تجربة العملاء.

يعتمد كسب ثقة العملاء والحفاظ عليها على جعل الأعمال التجارية مرنة قدر الإمكان. يعد انقطاع التيار الكهربائي حدثًا مقنعًا تحتاج كل شركة إلى رؤيته باعتباره بوتقة لتقييم مدى استعدادها لحدث مماثل.

ونظرًا للتكاملات والاتصالات المعقدة بين الأنظمة العالمية، سيكون هناك انقطاعات في المستقبل. يجب على كل شركة أن تتحمل مسؤولية المرونة السيبرانية وأن تختار التفوق فيها الآن وليس آجلاً.