Устраивайтесь перед синим экраном: кто виноват в глобальном сбое устройств с Windows

Весной 2024 года SecurityScorecard и McKinsey & Company выпустили исследование Redefining Resilience: Concentrated Cyber Risk in a Global Economy, в котором наглядно продемонстрировали зависимость практических всех и всего от нескольких технологических компаний, любая случайная или намеренная ошибка у которых может привести к глобальному коллапсу бизнеса или компрометации инфраструктуры и данных разного уровня критичности. Вот некоторые цифры из этого исследования:

• всего 150 компаний отвечают за 90% всех технологических продуктов и сервисов по всему миру;
• 41% этих компаний имеют доказанные случаи компрометации хотя бы одного своего корпоративного устройства за последний год;
  
• 11% этих компаний имеют доказанные случаи атак шифровальщиков на свою инфраструктуру за последний год;
  
• 62% всех технологических продуктов и сервисов по всему миру сосредоточено в руках всего 15 компаний;
  
• эти 15 технологических компаний имеют рейтинг ИБ (уровень защищенности) ниже среднего, что говорит о высокой вероятности их возможной компрометации;
  
• операторы шифровальщиков Cl0p, LockBit, BlackCat систематически нацеливаются на технологические компании и находят целевые устройства уже через пять минут после их подключения к интернету;
  
• 75% всех атак на подрядчиков (цепочки поставок) нацелены на технологические компании и разработчиков ПО.
  

19 июля выводы из этого отчета были продемонстрированы в ходе, казалось бы, обычного обновления системы защиты CrowdStrike Falcon, установленной на компьютерах под управлением Windows по всему миру. Они все упали в «синий экран смерти», да так, что даже стандартная рекомендация «перезагрузите компьютер» не помогала.

Важно отметить, что это обновление, вопреки распространенному мнению, относилось не к самому ПО средства защиты, а содержало новые сигнатуры атак, позволяющие ему обнаруживать новые хакерские методы. Если обычно обновления ПО у CrowdStrike «прилетают» один раз в две недели, то новые сигнатуры могут загружаться на защищаемые компьютеры до нескольких раз в день.

До сих пор не до конца понятно, почему типичное обновление привело к падению ОС Windows. Возможно, что CrowdStrike, изначально заявлявшая о том, что обновление не затрагивает ядро операционной системы, немного лукавит, — IT-гигант выпустил заявление о том, что соглашение об интероперабельности, заключенное в декабре 2009 года между Microsoft и Еврокомиссией, требовало обеспечить равные права на доступ к ядру ОС Windows конкурирующих продуктов, включая и средства защиты. Это и могло в итоге снизить безопасность системы и привести к сбою. Эксперты призывают руководство CrowdStrike, которое было вызвано в Конгресс для дачи объяснений, пригласить внешних независимых аудиторов, которых часто привлекают к расследованиям инцидентов ИБ, для проведения всесторонней оценки произошедшего. На момент написания колонки эта просьба все еще оставалась неудовлетворенной.

Сбой оказался нешуточным. По данным CrowdStrike, решениями Microsoft пользуется половина компаний рейтинга Fortune 500, а всего у нее 29 000 клиентов, большая часть которых использует CrowdStrike на платформе Windows. Согласно оценке Microsoft, пострадало 8,5 млн компьютеров (менее 1% всех машин под управлением Windows). Среди жертв оказались железнодорожные и авиакомпании, морские порты, финансовые организации, ретейл и сети питания, телекомпании и операторы наружной рекламы, медицинские учреждения и экстренные службы, операторы связи и маркетплейсы.

Заметнее всех пострадали авиакомпании. Так, по данным FlightAware, 19 июля было отменено более 3700 рейсов и еще более 33 000 рейсов было задержано. При стоимости отмены рейса не из-за погодных условий, измеряемой от $29 690 для малых широкофюзеляжных и до $42 890 для больших широкофюзеляжных самолетов, потери могли составить около $1 млрд всего за два дня. И это не считая страховок за отмененные рейсы, питание в аэропорту, рост нагрузки на аэропорты, выплаты персоналу за внеурочную работу и т.п. К тому же не летали не только пассажирские, но и грузовые рейсы, а это уже компенсации за срыв поставок, испорченные продукты. Предварительные оценки первых 20 часов после начала сбоя свидетельствуют о $24 млрд убытков, а отдельные эксперты уже говорят о триллионах долларов!

Российские организации, исключая редкие представительства глобальных компаний, не пострадали от этого сбоя: продукция CrowdStrike из-за отсутствия ее представительства или партнеров на нашем рынке не была популярна в России. И, пожалуй, именно это, а не что-либо еще, позволило нам с интересом наблюдать за происходящим, искать ответ на вопрос «А готовы ли мы, если такое произойдет и с российским ПО?» и пересматривать свои процедуры действий в кризисных ситуациях, а не решать проблему в экстренном порядке наравне со всем миром.

Сейчас мы следим за процедурой восстановления компаний, что на самом деле очень непростое дело. Если, конечно, не рассматривать иногда звучащие рекомендации «перегрузить компьютер с Windows не менее 15 раз», то основная сложность связана с необходимостью ручного обновления вышедших из строя ПК. В случае отсутствия отработанных и протестированных процедур обновления, а также из-за нехватки IT-специалистов задержка возврата к работоспособности всего парка пострадавших ПК в дни, а иногда даже недели, неизбежна. И это мы еще не говорим о компаниях с разрешенной со времен COVID-19 удаленной работой, при которой надо либо привозить компьютер для восстановления в офис, либо отправлять специальную загрузочную флешку удаленному сотруднику с соответствующей инструкцией по самостоятельному восстановлению, что также приводит к дополнительным задержкам.

Компании CrowdStrike и Microsoft поспешили заверить своих клиентов, что речь идет не о кибератаке и их данным ничего не угрожает. Однако хакеры, как это всегда бывает во время крупных информационных поводов, воспользовались неразберихой и сразу же создали десятки фишинговых доменов и стали рассылать фишинговые письма с заголовками «Поддержка CrowdStrike», «Безопасность CrowdStrike» и т.п., содержащие вредоносный код или ссылки на вредоносные сайты. В некоторых хакерских каналах публикуется информация об отдельных компаниях, попавшихся на эту удочку киберпреступников.

Можно ли предотвратить такой инцидент в будущем? Ответить на этот вопрос нелегко. На практике почти никто и никогда не проверяет обновления сигнатур атак, «прилетающих», как я уже говорил, по несколько раз в день — иногда это просто невозможно технически. Оценивать их в изолированном, тестовом окружении тоже сложно, так как такие обновления должны оперативно доставляться до средств защиты, иначе в них нет никакого смысла (а вот для обновления ПО, кстати, это нужно делать обязательно). Но вот о чем нужно подумать непременно: 

• классифицировать и приоритезировать все IT-активы с точки зрения их влияния на бизнес;
• разработать план реагирования на IT- и ИБ-инциденты, включая широкомасштабные, а также кризисные ситуации, и иметь правила эскалации для таких случаев;
  
• постоянно мониторить инфраструктуру на предмет кибератак даже во время сбоя -- хакеры часто скрывают свою активность под личиной IT-проблем;
  
• проводить оценку воздействия инцидента на бизнес и не допускать спонтанных и эмоциональных решений руководства, которые могут повлиять на защищенность компании;
  
• пересмотреть процедуры обновления ПО, например, раскатывать не все сразу, а поэтапно, сначала на менее критичные системы, потом на более и т.д., вплоть до целевых и ключевых систем;
  
• проверить работоспособность обновлений в тестовом окружении, эмулирующем вашу инфраструктуру (то, что работает у других, может не работать на вашей связке ПО или давать совершенно непредсказуемые эффекты);
  
• проверить работоспособность процедуры OOB-коммуникаций (out-of-band) со своими сотрудниками на такой случай. Иначе как же им сообщить о проблеме, если ни почта, ни корпоративный мессенджер не работают?
  
• проверить план обеспечения непрерывности бизнеса и провести по итогам инцидента учения со всеми ключевыми сотрудниками, вовлеченными в кризисные коммуникации и обеспечение киберустойчивости;
  
• и, конечно, ни в коем случае не забывать о резервном копировании.
  

Пока сложно оценивать все последствия произошедшего. С огромной долей вероятности CrowdStrike еще столкнется с исками от пострадавших клиентов, которые если и не поставят компанию на грань выживания, то уж точно могут оказаться для нее весьма ощутимы. То, что ИБ-производитель потерял 20% своей капитализации в первый день IT-коллапса, еще ни о чем не говорит, а вот крупные иски могут нанести более серьезный ущерб для компании.

Интересно, что CrowdStrike был одной из немногих ИБ-компаний, которая предложила своим клиентам гарантию выплаты до $1 млн (зависит от числа купленных лицензий на CrowdStrike Falcon) в случае взлома их систем, защищенных решениями CrowdStrike. Своеобразная ирония судьбы в том, что пятничный кейс с выходом из строя и простоем систем по вине CrowdStrike под данный страховой случай не подпадает.

Мнение редакции может не совпадать с точкой зрения автора