როგორ ავიცილოთ თავიდან Crowd Strike EDR-დან გამომდინარე პრობლემები: რას გვირჩევს „კასპერსკის ლაბორატორია“
თბილისი, 30 ივლისი. 19 ივლისს CrowdStrikeEDR-ის გადაწყვეტის არაკორექტული განახლება შეეხო Windows-ის მოწყობილობებს მთელს მსოფლიოში, ყველა მათგანმა კორპორატიულ მომხმარებლებს ღამით აჩვენასიკვდილის ლურჯი ეკრანი (BSOD). ჩავარდნა შეეხო, მაგალითად, აეროპორტის საინფორმაციო სისტემებს აშშ-ში, ესპანეთში, გერმანიაში, ნიდერლანდებში და სხვა ქვეყნებში.
„კასპერსის ლაბორატორიის“ ინფორმაციის თანახმად, პარასკევს, 19 ივლისს დილით, მომხმარებლებმა მთელ მსოფლიოში განაცხადეს Windows-თან დაკავშირებული პრობლემების შესახებ. CrowdStrike-მ დაადასტურა, რომ ძირითადი მიზეზი არის დრაივერი csagent.sys ან C-00000291*.sys CrowdStrikeEDR-ისთვის.
ყველაზე მეტად დაზარალდნენ ავიაკომპანიები, აეროპორტები, სხვადასხვა სამედიცინო ცენტრები, მაღაზიების ქსელი, ნიუ-იორკის მეტრო, სამხრეთ აფრიკის უდიდესი ბანკი და მრავალი სხვა ორგანიზაცია. მარცხის შედეგად დაზარალებულთა სრული სია შეგიძლიათ იხილოთ აქ.
„კასპერსკის ლაბორატორიას“ მიაჩნია, რომ საკმაოდ პრობლემურია იმის შეფასება, თუ რამდენი დრო დასჭირდება მსოფლიოში გარკვეული საინფორმაციო სისტემების სრულად აღდგენას. საკითხი რთულდება იმით, რომ მომხმარებლებმა ხელით უნდა გადატვირთონ კომპიუტერი უსაფრთხო რეჟიმში. დიდ კორპორაციებში, როგორც წესი, შეუძლებელია ამის გაკეთება დამოუკიდებლად სისტემის ადმინისტრატორის დახმარების გარეშე.
ამასთან, იმისათვის, რომ თავი დააღწიოთ CrowdStrike Blue Screen of Death-ის პრობლემას, რომელიც გამოწვეულია მათი დრაივერის განახლებით, თქვენ უნდა:
- ჩატვირთეთ კომპიუტერი უსაფრთხო რეჟიმში.
- გადადით C:\Windows\System32\drivers\CrowdStrike-ზე.
- იპოვეთ და წაშალეთ csagent.sys ან C-00000291*.sys ფაილი.
- გადატვირთეთ კომპიუტერი ნორმალურ რეჟიმში.
„კასპერსკის ლაბორატორიის“ ექსპერტების აზრით, ასეთი სიტუაციաმარტივად შეგიძლიათ აიცილოთ თავიდან: პირველი, არ გამოაქვეყნოთ განახლებები პარასკევს, რადგანაც ხარვეზის გამოსასწორებლად მცირე დრო გრჩებათ, CrowdStrike-ის შეწყვეტით დაზარალებული ყველა კომპანიის სისტემის ადმინისტრატორები თითქმის მთელი შაბათ-კვირა მუშაობდნენ პრობლემის მოსაგვარებლად.
”მაგრამ ყველაზე მნიშვნელოვანი ის არის, რომ მაქსიმალურად პასუხისმგებელი ვიყოთ გამოშვებული განახლებების ხარისხზე. ჯერ კიდევ 2009 წელს, ჩვენ „კასპერსკის ლაბორატორიაში“ დავიწყეთ პროგრამა ჩვენი კლიენტებისთვის მასობრივი წარუმატებლობის თავიდან ასაცილებლად და ჩავატარეთ SOC 2 აუდიტი, რომელიც ადასტურებდა შიდა პროცესების უსაფრთხოებას. უკვე 15 წელია, თითოეულმა განახლებამ გაიარა მუშაობის მრავალ დონის ტესტირება სხვადასხვა კონფიგურაციაზე და ოპერაციული სისტემების სხვადასხვა ვერსიაზე. ეს საშუალებას გვაძლევს წინასწარ გამოვავლინოთ შესაძლო პრობლემები და მოვაგვაროთ ისინი „ხმელეთზევე“.
„უნდა დაიცვან გრანულირებული გამოშვების პრინციპი. განახლებები უნდა გავრცელდეს ეტაპობრივად და არა ყველა მომხმარებლისთვის ერთდროულად. ეს მიდგომა შესაძლებელს ხდის მოვახდინოთ მყისიერი რეაგირება და საჭიროების შემთხვევაში შევძლოთ განახლების შეცერება. თუ ჩვენს მომხმარებლებს რაიმე პრობლემა ექმნებათ, აუცილებლად ვარეგისტრირებთ, მისი გადაწყვეტა ხდება პრიორიტეტი კომპანიის ყველა დონეზე“, – აცხადებენ კასპერსკის ლაბორატორიაში და განმარტავენ, რომ, როგორც კიბერუსაფრთხოების ინციდენტების შემთხვევაში, ხილული ზიანის აღმოფხვრის გარდა საჭიროა ნაპოვნი იქნას ძირითადი მიზეზი მომავალში ამ ტიპის პრობლემების თავიდან ასაცილებლად. აუცილებელია შეამოწმოთ პროგრამული პროდუქტის განახლებების ფუნქციონალობა სატესტო ინფრასტრუქტურაში, სანამ მათ გადაიტანთ კომპანიის „საბრძოლო“ ინფრასტრუქტურაში და განახორციელოთ ცვლილებები თანდათანობით, შესაძლო წარუმატებლობების კონტროლით.
ასევე, ინციდენტებთან მუშაობა უნდა ეფუძნებოდეს დაცვის ინტეგრირებულ მიდგომას სანდო მიმწოდებლისგან, მაღალი შიდა მოთხოვნებით მისი სერვისების უსაფრთხოების, ხარისხისა და ხელმისაწვდომობისთვის. ამ სამუშაოს საფუძველი შეიძლება იყოს KasperskySymphonyგადაწყვეტილებების ხაზი. ეს არა მარტო დაეხმარება კომპანიებს სიცოცხლისუნარიანობის შენარჩუნებაში, არამედ გაზრდის ინფორმაციული უსაფრთხოების სისტემის ეფექტურობას. ეს შეიძლება გაკეთდეს ეტაპობრივად, დაცვის გაზრდით ნელ-ნელა, ან ერთდროულად, KasperskySymphonyXDR დაცვის უმაღლესი დონის გამოყენებით. „კასპერსკის ლაბორატორია“ კომპანიებს ურჩევს, იზრუნონ ინფრასტრუქტურის უსაფრთხოებაზე მასთან ერთად, რათა მომდევნო გლობალურმაწარუმატებლობა არ შეეხოს მათ მომხმარებელს.