CrowdStrike Global Outbreak: Orientação da Sophos

Opinião Sophos sobre o que aconteceu e respostas às principais perguntas dos clientes e parceiros da Sophos.

Em 19 de julho de 2024, a CrowdStrike lançou uma “atualização de conteúdo” para seus clientes que executam o agente de endpoint CrowdStrike Falcon em dispositivos Windows, resultando em interrupção para organizações em todo o mundo em vários setores, incluindo viagens, bancos, saúde e varejo.

Os agentes de ameaças geralmente usam interrupções e incidentes em larga escala como oportunidades para tirar vantagem das vítimas. Nesta publicação, fornecemos clareza sobre o entendimento da Sophos sobre o que aconteceu e respondemos às principais perguntas de acompanhamento de nossos clientes e parceiros.

O objetivo de todas as empresas no espaço de segurança cibernética, Sophos e concorrentes, é manter as organizações seguras e protegê-las de invasores. Enquanto competimos uns com os outros no cenário comercial, somos – mais importante – uma comunidade unida contra os criminosos cibernéticos como um inimigo comum. Estendemos nosso apoio de pares à CrowdStrike neste momento e desejamos a todas as organizações afetadas uma rápida recuperação e retorno à normalidade.

A segurança cibernética é um cenário incrivelmente complexo e em rápida evolução. “Para aqueles de nós com a pele no jogo de viver no kernel, isso provavelmente aconteceu conosco em um momento ou outro, e quaisquer que sejam as medidas de precaução que tomamos, nunca estamos 100% imunes”,  disse Joe Levy, CEO da Sophos, no LinkedIn.

Resumo do problema

• Isso não foi resultado de um incidente de segurança na CrowdStrike e não foi um ataque cibernético.
• Embora não tenha sido resultado de um incidente de segurança, a segurança cibernética consiste em confidencialidade, integridade e disponibilidade. A disponibilidade foi claramente impactada, então isso é categoricamente uma falha de segurança cibernética.
• O problema, que resultou em uma tela azul da morte (BSOD) em máquinas Windows, foi causado por uma atualização de “conteúdo” do produto lançada para clientes da CrowdStrike.
• Organizações que executam agentes CrowdStrike Falcon em computadores e servidores Windows podem ter sido impactadas. Dispositivos Linux e macOS não foram afetados por este incidente.
• A CrowdStrike identificou a implementação de conteúdo relacionada a esse problema e reverteu essas alterações.  Orientações de correção  foram emitidas para os clientes da CrowdStrike.

Uma nota sobre atualizações de “conteúdo”

Esta foi uma atualização típica de “conteúdo” do produto para o software de segurança de endpoint da CrowdStrike — o tipo de atualização que muitos provedores de software (incluindo a Sophos) precisam fazer regularmente.

Atualizações de conteúdo, às vezes chamadas de atualizações de proteção, melhoram a lógica de proteção de um produto de segurança de endpoint e sua capacidade de detectar as ameaças mais recentes. Nesta ocasião, uma atualização de conteúdo da CrowdStrike teve consequências imprevistas significativas. No entanto, nenhum fornecedor de software é infalível, e problemas como esse podem (e afetam) outros fornecedores, independentemente do setor.

Resposta da CrowdStrike

A CrowdStrike emitiu uma declaração em seu site com orientação de remediação para seus clientes. Se você for afetado pelo problema ou receber perguntas de seus clientes que usam a CrowdStrike, consulte esta página oficial da CrowdStrike:

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

Como sempre, a vigilância é crítica. Os criminosos cibernéticos estão registrando domínios potencialmente maliciosos (typo-squatting) e usando “remediação CrowdStrike” em campanhas de phishing para tentar tirar vantagem das vítimas. Se você entrar em contato ou for contatado pela CrowdStrike, confirme que está falando com um representante autorizado.

Os clientes da Sophos foram afetados pelo incidente da CrowdStrike?

Os clientes que usam o Sophos para proteção de endpoint, incluindo aqueles que usam o Sophos Endpoint com o Sophos XDR ou o Sophos MDR, não foram afetados. Um pequeno número de clientes que usam o agente Sophos “XDR Sensor” (disponível com o Sophos XDR e o Sophos MDR) como uma sobreposição sobre o CrowdStrike Falcon pode ter sido afetado.

O que a Sophos faz para mitigar o risco de uma interrupção de serviço semelhante?

Cada produto de proteção de endpoint, incluindo  o Sophos Endpoint , fornece atualizações regulares de produto e publica continuamente atualizações de proteção (conteúdo). As ameaças se adaptam rapidamente, e atualizações oportunas da lógica de proteção são essenciais para acompanhar o cenário de ameaças em constante evolução.

Tendo fornecido soluções líderes de proteção de endpoint por mais de três décadas e aprendido muitas lições de incidentes anteriores da Sophos e do setor, a Sophos tem processos e procedimentos robustos para mitigar o risco de interrupção do cliente. No entanto, esse risco nunca é zero.

Na Sophos, todas as atualizações de produtos são testadas em ambientes internos de garantia de qualidade, especialmente desenvolvidos, antes de serem lançadas em produção. Uma vez em produção, as atualizações de produtos são lançadas internamente para todos os funcionários e infraestrutura da Sophos no mundo todo.

Somente quando todos os testes internos estiverem concluídos e estivermos satisfeitos que a atualização atenda aos critérios de qualidade, a atualização será gradualmente lançada para os clientes. O lançamento começará lentamente, aumentando em velocidade e escalonado em toda a base de clientes. A telemetria é coletada e analisada em tempo real. Se houver um problema com uma atualização, apenas um pequeno número de sistemas será afetado, e a Sophos pode reverter muito rapidamente.

Os clientes podem, opcionalmente,  controlar as atualizações do produto Sophos Endpoint  (não atualizações de proteção) usando as configurações de política de gerenciamento de atualizações. As opções de pacote de software incluem Recomendado (gerenciado pela Sophos), Suporte de prazo fixo e Suporte de longo prazo, com a capacidade de agendar o dia e a hora em que as atualizações devem ocorrer.

Assim como com as atualizações de produtos, todas as atualizações de conteúdo do Sophos Endpoint são testadas em nossos ambientes de garantia de qualidade antes de serem lançadas em produção, com cada lançamento revisado para garantir que atenda aos nossos padrões de qualidade. Os lançamentos de conteúdo para os clientes são encenados como parte de nossos controles de QA contínuos e monitoramos e ajustamos os lançamentos com base na telemetria, conforme necessário.

A Sophos segue um  ciclo de vida de desenvolvimento seguro  para garantir que nossas soluções sejam construídas de forma segura e eficiente, detalhado no  Sophos Trust Center . Informações adicionais sobre os  princípios de lançamento e desenvolvimento do Sophos Endpoint  podem ser encontradas em nossa  base de conhecimento .

Conteúdo original “Sophos”.