در تاریخ ۱۹ ژوئیه ۲۰۲۴، جهان امنیت سایبری با یک حادثه غیرمنتظره و شدید روبرو شد که شامل CrowdStrike، یکی از برجستهترین فروشندگان امنیت سایبری بود. یک بهروزرسانی معیوب برای نرمافزار سنسور Falcon CrowdStrike موجب اختلالات گستردهای شد که به شکل صفحه آبی مرگ (BSOD) در کامپیوترهای ویندوزی در سراسر جهان بروز کرد. این مقاله به جزئیات این حادثه، تاثیرات آن، پاسخهای CrowdStrike و پیامدهای گستردهتر برای روشهای امنیت سایبری میپردازد.
این حادثه نشان دهنده چالشهای مرتبط با وابستگی به نرمافزارهای ثالث برای کارکردهای حیاتی امنیت سایبری است. با وجود شهرت CrowdStrike برای ارائه راهحلهای امنیتی پیشرفته، این رویداد نشان داد که حتی شرکتهای پیشرو نیز میتوانند دچار خطاهایی شوند که تأثیرات گستردهای در سطح جهانی داشته باشند. این موضوع نیاز به بازبینی و تقویت برنامههای بازیابی بلایا و همچنین آموزش مستمر در مورد تهدیدات سایبری و شناسایی فیشینگ را برجسته میکند. در این مقاله ای بازی به بررسی ان می پردازیم.
بحران جهانی
مشکل زمانی آغاز شد که CrowdStrike یک بهروزرسانی برای سنسور Falcon خود منتشر کرد، که یک جزء حیاتی در مجموعه پاسخ و تشخیص نقطه پایان (EDR) آن است. این بهروزرسانی شامل یک فایل کانال نادرست بود که باعث کرش سیستمها در کامپیوترهای ویندوزی شد. این مشکل سیستمهای Mac یا Linux را تحت تأثیر قرار نداد، که نشان دهنده یک آسیبپذیری خاص در محیط ویندوز بود.
گزارشهای اولیه از صفحه آبی مرگ ابتدا از استرالیا شروع شد و به سرعت به اروپا، آسیا و آمریکا گسترش یافت. کسبوکارها و خدمات عمومی در سراسر جهان با اختلالات قابل توجهی روبرو شدند. فرودگاهها با تأخیر پروازها، بیمارستانها مجبور به لغو مراحل درمانی، و عملیاتهای مختلف عمومی و خصوصی متوقف شدند. این حادثه بر وابستگی متقابل زیرساختهای مدرن فناوری اطلاعات و نیاز آنها به راهحلهای امنیت سایبری قوی تاکید کرد.
تاثیر فوری
عواقب ناشی از بهروزرسانی CrowdStrike بلافاصله و گسترده بود. خطوط هوایی عمده با تأخیرهای عملیاتی مواجه شدند و فرودگاهها با صفهای طولانی و مسافران ناراضی روبرو شدند. در بخش بهداشت و درمان، بیمارستانها مجبور به تعویق روشهای غیر حیاتی شدند و برخی حتی به ثبت دستی سوابق بیمار بازگشتند.
کسبوکارهای خردهفروشی، از جمله زنجیرههای بزرگ مانند Starbucks، مشکلاتی را در سیستمهای فروش و سفارشدهی موبایلی خود گزارش کردند. این حادثه همچنین سیستمهای حمل و نقل عمومی را تحت تأثیر قرار داد، به طوری که اپراتورهای قطار در انگلستان گزارش دادند که تأخیرهایی به دلیل خرابی سیستمها وجود دارد. اختلال حتی به خدمات اضطراری نیز گسترش یافت، به طوری که برخی مناطق با قطعی موقت در خدمات ۹۱۱ مواجه شدند.
پاسخ و کاهش
CrowdStrike به سرعت مشکل را شناسایی کرد و برای توسعه یک راهحل کار کرد. این شرکت فایل کانال نادرست را شناسایی و نسخه اصلاح شدهای را منتشر کرد. با این حال، فرآیند اصلاح مستقیم نبود. سیستمهای تحت تأثیر باید به حالت ایمن بوت شوند، جایی که فایل مشکلساز به صورت دستی حذف و سپس اصلاح اعمال میشود. این مداخله دستی چالشهای قابل توجهی را به ویژه برای سازمانهایی با نیروی کار بزرگ و پراکنده جغرافیایی به همراه داشت.
آژانس امنیت سایبری و زیرساختهای آمریکا (CISA) مشاورههایی صادر کرد و به سازمانها هشدار داد که در برابر حملات فیشینگ فرصتطلبانه و کلاهبرداریهایی که از هرج و مرج بهره میبرند، هوشیار باشند. CISA بر اهمیت پیروی از دستورالعملهای رسمی و اجتناب از اصلاحات تایید نشده از منابع بالقوه مخرب تاکید کرد.
پیامدهای گستردهتر
این حادثه با CrowdStrike به عنوان یک یادآوری برجسته از آسیبپذیریهای موجود در اعتماد به نرمافزارهای ثالث برای عملکردهای حیاتی امنیت سایبری خدمت میکند. در حالی که CrowdStrike برای ارائه راهحلهای امنیتی قوی شناخته شده است، این رویداد نشان میدهد که حتی شرکتهای پیشرو نیز از خطاهایی که میتواند اثرات گستردهای در سطح جهانی داشته باشد، مصون نیستند.
سازمانها تشویق میشوند که برنامههای بازیابی بلایای خود را مجدداً ارزیابی کنند و اطمینان حاصل کنند که پروتکلهای قوی برای مقابله با چنین حوادثی دارند. این شامل به روز نگه داشتن نسخههای پشتیبان، داشتن کانالهای ارتباطی جایگزین، و اطمینان از دسترسی آسان به اطلاعات بازیابی حیاتی مانند کلیدهای BitLocker است.
علاوه بر این، این حادثه نیاز به هوشیاری مداوم و آموزش در مورد فیشینگ و سایر تهدیدات سایبری که میتوانند از چنین شرایطی بهرهبرداری کنند، را برجسته میکند. اطمینان از اینکه کارمندان آموزش دیدهاند تا ارتباطات مشکوک را تشخیص دهند و به طور مناسب پاسخ دهند، در کاهش ریسک حملات ثانویه بسیار مهم است.
کلام اخر
خاموشی CrowdStrike در ژوئیه ۲۰۲۴ یک رویداد مهم در دنیای امنیت سایبری بود که هم پتانسیل برای اختلال گسترده ناشی از مشکلات نرمافزاری و هم اهمیت حیاتی راهبردهای پاسخ به حادثه و بازیابی را نشان داد. با ادامه سازمانها در پیمایش پیچیدگیهای امنیت سایبری، این حادثه به عنوان یادآوری مهمی از نیاز به برنامهریزی جامع، هوشیاری مداوم و توانایی سازگاری سریع با چالشهای غیرمنتظره خدمت میکند.
پرسشهای متداول درباره حادثه خاموشی CrowdStrike
۱. چه اتفاقی برای CrowdStrike در ۱۹ ژوئیه ۲۰۲۴ رخ داد؟
در ۱۹ ژوئیه ۲۰۲۴، یک بهروزرسانی معیوب برای نرمافزار سنسور Falcon CrowdStrike منتشر شد که باعث ایجاد صفحه آبی مرگ (BSOD) در کامپیوترهای ویندوزی در سراسر جهان شد. این بهروزرسانی نادرست شامل یک فایل کانال اشتباه بود که سیستمها را کرش میکرد.
۲. چه سیستمعاملهایی تحت تأثیر این مشکل قرار گرفتند؟
این مشکل تنها سیستمهای ویندوزی را تحت تأثیر قرار داد و سیستمهای Mac و Linux بدون مشکل باقی ماندند. این موضوع نشاندهنده یک آسیبپذیری خاص در محیط ویندوز بود.
۳. چه بخشهایی از جهان بیشتر تحت تأثیر این حادثه قرار گرفتند؟
این حادثه به طور گستردهای در سراسر جهان تأثیرگذار بود، با گزارشهایی از استرالیا، اروپا، آسیا، و آمریکا. فرودگاهها، بیمارستانها، کسبوکارهای خردهفروشی، و سیستمهای حمل و نقل عمومی همگی دچار اختلال شدند.
۴. CrowdStrike چگونه به این مشکل پاسخ داد؟
CrowdStrike بلافاصله مشکل را شناسایی کرد و شروع به کار بر روی راهحلی کرد. این شرکت فایل کانال نادرست را شناسایی و نسخه اصلاح شدهای را منتشر کرد. برای رفع مشکل، سیستمهای تحت تأثیر باید به حالت ایمن بوت شوند و فایل مشکلساز به صورت دستی حذف شود.
۵. چه تاثیری بر کسبوکارها و خدمات عمومی داشت؟
بسیاری از کسبوکارها و خدمات عمومی دچار اختلالات شدیدی شدند. فرودگاهها با تأخیر پروازها مواجه شدند، بیمارستانها مجبور به تعویق مراحل درمانی شدند، و کسبوکارهای خردهفروشی مانند Starbucks با مشکلاتی در سیستمهای فروش مواجه شدند. همچنین برخی مناطق با قطعی موقت در خدمات اضطراری ۹۱۱ مواجه شدند.
۶. آیا این حادثه ناشی از یک حمله سایبری بود؟
خیر، این حادثه ناشی از یک بهروزرسانی معیوب بود و نه یک حمله سایبری. به نظر میرسد که مشکل از یک فایل کانال نادرست در بهروزرسانی Falcon CrowdStrike ناشی شده است.
۷. چه اقداماتی برای پیشگیری از چنین حوادثی میتوان انجام داد؟
سازمانها باید برنامههای بازیابی بلایای خود را مجدداً ارزیابی کنند و اطمینان حاصل کنند که پروتکلهای قوی برای مقابله با چنین حوادثی دارند. این شامل به روز نگه داشتن نسخههای پشتیبان، داشتن کانالهای ارتباطی جایگزین، و اطمینان از دسترسی آسان به اطلاعات بازیابی حیاتی مانند کلیدهای BitLocker است.
۸. چگونه میتوان از حملات فیشینگ و کلاهبرداریهای مشابه در چنین شرایطی جلوگیری کرد؟
در چنین شرایطی، سازمانها باید هوشیار باشند و آموزشهای مداوم در مورد شناسایی فیشینگ و تهدیدات سایبری را به کارکنان خود ارائه دهند. اطمینان از اینکه کارکنان میتوانند ارتباطات مشکوک را تشخیص دهند و به طور مناسب پاسخ دهند، در کاهش ریسک حملات ثانویه بسیار مهم است.
تاریخ آخرین آپدیت: ۱ام مرداد ۱۴۰۳