CrowdStrike: lo que sabemos

Hay mucho ruido en torno a la reciente interrupción del servicio que afectó a los dispositivos de Microsoft debido a una actualización de software de CrowdStrike. Las autoridades dicen que no se trató de un ciberataque, sino de una actualización mal configurada o dañada enviada a los clientes por CrowdStrike.

Tan impactante como un ciberataque

Si bien hasta ahora no hay informes de actividad de un actor de amenazas, este incidente está teniendo el mismo impacto que algunos de los ataques cibernéticos más devastadores que hemos visto en el pasado. La realidad es que un incidente de seguridad puede ocurrir sin la participación de un actor de amenazas, lo que afecta los principios fundamentales de seguridad tal como se describe en la Tríada de la CIA : disponibilidad, integridad y confidencialidad .

Cuando se vulnera alguno de estos principios, se ve afectada la seguridad general del sistema. En este caso en particular, el incidente afectó principalmente a la disponibilidad de los sistemas, lo que provocó interrupciones generalizadas en el servicio a las principales aerolíneas, bancos y minoristas, pero también a organizaciones de todos los tamaños.

¿Cómo pudo pasar esto?

Dada la cantidad significativa de máquinas afectadas, un proceso de prueba exhaustivo por parte de CrowdStrike probablemente habría identificado el problema durante la fase de prueba. Si se hubieran realizado dichas pruebas, el problema podría haberse detectado y solucionado de manera oportuna. Esto significa que son posibles los siguientes escenarios:

CrowdStrike no probó la actualización adecuadamente, lo cual es muy poco probable debido a las múltiples certificaciones de seguridad de CrowdStrike, incluida FedRamp.

Si la actualización pasó la etapa de prueba con éxito, es seguro decir que fue alterada después de que se completó la sesión de preguntas y respuestas. Es probable que esto haya sucedido de varias maneras: a través de un empleado por error o intencionalmente o a través de un actor de amenazas. La investigación que se está llevando a cabo en este momento ayudará a arrojar luz sobre cómo sucedió exactamente.

Aunque es demasiado pronto para saberlo, sí sabemos una cosa: los adversarios reconocen las interrupciones que pueden producirse al dirigir las actualizaciones del sistema a puntos únicos de falla en nuestra infraestructura crítica. Esto motiva a los adversarios a llevar a cabo ataques similares en el futuro y a aprovechar las circunstancias actuales. Ya hay docenas de sitios de phishing que se hacen pasar por el centro de asistencia y soporte técnico de CrowdStrike.

La interrupción del servicio de CrowdStrike es un duro recordatorio de los peligros que enfrentan las organizaciones cuando se trata de la plataformización , una tendencia que estamos viendo en toda la industria. La consolidación de herramientas puede llevar a una dependencia excesiva de un solo proveedor, lo que puede ser devastador en situaciones similares.

¿Cómo es la recuperación?

La única forma de recuperar los dispositivos afectados es mediante una intervención manual. Esto requiere atención física a cada dispositivo, ya que las herramientas de administración remota son ineficaces debido a la naturaleza de la interrupción.

La carga que supone recuperar manualmente cada sistema es considerable, lo que implica una importante asignación de tiempo y recursos. La solución alternativa para los dispositivos afectados (pantalla azul) solo se puede realizar de forma individual, no existe una solución que se pueda aplicar a gran escala. Esto provoca una interrupción adicional de las operaciones y un aumento de los costos debido al tiempo de inactividad.