Incidente CrowdStrike: Lições de Segurança de Fornecedores

O incidente da CrowdStrike abalou o mundo da cibersegurança, demonstrando a importância crucial de ter fornecedores fiáveis na segurança de TI. A CrowdStrike, um dos principais fornecedores de segurança de endpoints, lançou uma atualização de software que causou uma interrupção global de TI. Este evento expôs as vulnerabilidades que podem surgir quando se depende de soluções de segurança externas. As consequências estenderam-se a várias áreas, como banca, saúde e aviação, ilustrando o alcance abrangente destas falhas no nosso mundo digital interligado.

À medida que as empresas lidam com as consequências deste evento, torna-se evidente que a seleção de fornecedores de segurança de TI fiáveis é mais importante do que nunca. Este artigo explora o problema da atualização da CrowdStrike, analisando as suas implicações para a segurança empresarial e as formas de mitigar os riscos associados aos fornecedores. Ao estudar este caso, pretendemos partilhar conhecimentos sobre como selecionar fornecedores, avaliá-los e planear contingências. Isto pode ajudar as empresas a reforçar as suas defesas cibernéticas num mundo onde as ameaças se tornam cada vez mais complexas.

Análise do Problema de Atualização da CrowdStrike

Uma Visão Geral da Interrupção Global de TI

Em 19 de julho de 2024, às 04:09 UTC, a CrowdStrike lançou uma atualização de configuração do sensor para sistemas Windows como parte das suas operações normais. Esta atualização visava melhorar os mecanismos de proteção, mas causou um erro lógico que levou a falhas do sistema e ao conhecido "Ecrã Azul da Morte" (BSOD) nos dispositivos afetados. O problema teve um alcance amplo, afetando cerca de 8,5 milhões de dispositivos Windows em todo o mundo, o que representa menos de 1% de todos os dispositivos Windows.

Efeitos Imediatos nas Empresas

As consequências desta atualização falhada foram rápidas e severas. Indústrias-chave enfrentaram grandes perturbações:

1. Aviação: Cerca de 5.000 voos comerciais foram cancelados, afetando aeroportos nos EUA, Europa, Ásia e Oceânia.
2. Banca: Bancos como Bradesco, Neon e Next no Brasil viram os seus serviços interrompidos.
3. Saúde: Instituições como o Hospital de Clínicas de São Paulo tiveram de adiar procedimentos e voltar aos registos em papel.
4. Energia: Empresas de energia enfrentaram problemas operacionais.
5. Tecnologia: Sistemas em nuvem que servem milhares de empresas foram afetados, causando uma reação em cadeia na infraestrutura global.

Detalhes Técnicos da Atualização Defeituosa

A atualização defeituosa estava relacionada com o Ficheiro de Canal 291, que faz parte da plataforma Falcon da CrowdStrike. Este ficheiro pode ser encontrado na pasta C:\Windows\System32\drivers\CrowdStrike\. Ele gere como o Falcon verifica a execução de named pipes em sistemas Windows. A atualização visava abordar named pipes maliciosos identificados em ataques cibernéticos. No entanto, continha um erro lógico que levava à leitura de memória fora dos limites, causando um erro que o sistema não conseguia gerir adequadamente.

Como Afetou os Sistemas Windows

A atualização com falhas desencadeou uma série de problemas:

1. Sistemas com o sensor Falcon para Windows versão 7.11 e superior falharam se receberam a atualização entre as 04:09 UTC e as 05:27 UTC de 19 de julho de 2024.
2. Os sistemas afetados entraram num ciclo de reinicialização, tornando-os inutilizáveis.
3. Este problema não afetou apenas sistemas locais; também teve impacto em serviços na nuvem, incluindo máquinas virtuais Microsoft Azure.

Como a CrowdStrike Abordou e Corrigiu o Problema

A CrowdStrike tomou as seguintes medidas para resolver a crise:

1. Reverteu a atualização problemática às 05:27 UTC, cerca de 79 minutos após a sua implementação inicial.
2. Publicou uma correção manual para os sistemas afetados. Os utilizadores tiveram de iniciar em Modo de Segurança e eliminar o Ficheiro de Canal defeituoso.
3. Marcou a versão afetada do ficheiro de canal como "conhecido-mau" na Nuvem CrowdStrike.
4. Prometeu melhorar os seus testes. Isto inclui melhores testes locais antes da implementação no cliente, melhor estabilidade e testes de interface de conteúdo, e uma abordagem faseada para futuras atualizações.

Este evento demonstra a importância crucial de testes adequados. Também destaca como as atualizações de software podem ter efeitos significativos no nosso mundo digital interligado.

Implicações para a Segurança Empresarial

O incidente da CrowdStrike revela lições importantes para a segurança empresarial, enfatizando a necessidade de equilibrar a gestão de TI e a cibersegurança.

Riscos dos Processos de Atualização Automatizados

As atualizações automatizadas mantêm os sistemas seguros, mas podem causar problemas significativos:

1. Problemas inesperados: O caso CrowdStrike prova que uma única atualização defeituosa pode paralisar muitos sistemas.
2. Confiança excessiva na automação: As empresas podem adotar uma atitude de "configurar e esquecer", levando a uma vigilância reduzida dos seus sistemas.
3. Exploração por hackers: Os criminosos podem explorar vulnerabilidades nos sistemas de atualização para propagar malware ou comprometer redes inteiras.

Desafios na Gestão de Ecossistemas de TI Complexos

As empresas atuais enfrentam vários desafios na gestão dos seus sistemas de TI:

Desafios na Gestão de Ecossistemas de TI Complexos

As empresas atuais enfrentam vários desafios na gestão dos seus sistemas de TI:

1. Encontrar o equilíbrio certo entre segurança e facilidade de utilização: Quando a segurança se torna demasiado complicada, pode perturbar os fluxos de trabalho e reduzir a eficiência.
2. Reter talentos: Quando as empresas não conseguem manter especialistas em segurança qualificados, podem ficar para trás nas atualizações e na implementação de novas medidas.
3. Complexidade excessiva: Com tantas ferramentas diferentes para lidar com várias ameaças de segurança, os sistemas tornaram-se complicados e difíceis de gerir.

Equilibrar Segurança e Operações Fluidas

É essencial manter a segurança apertada, garantindo simultaneamente que tudo funciona sem problemas:

1. Resistência a atualizações: Os sistemas em condições estáveis muitas vezes fazem com que as pessoas receiem instalar correções de segurança importantes, causando atrasos.
2. Desafios de testes: As equipas de segurança sobrecarregadas podem não ter tempo ou ferramentas suficientes para testar adequadamente as atualizações antes de as implementar.
3. Necessidade de soluções integradas: Tecnologias de segurança fáceis de usar, combinadas e automáticas podem reduzir tarefas manuais e aumentar a confiança na implementação de atualizações.

Formas de Reduzir Riscos de Fornecedores

Estabelecer Processos Rigorosos de Teste de Atualizações

Para reduzir os riscos associados às atualizações de fornecedores, as empresas devem estabelecer processos de teste abrangentes. Isto implica realizar verificações minuciosas das atualizações antes da implementação, incluindo testes locais e verificações de estabilidade melhoradas. A utilização de uma abordagem faseada para futuras atualizações pode ajudar a identificar potenciais problemas antes de afetarem todo o sistema.

Melhorar as Estratégias de Resposta e Recuperação de Incidentes

Desenvolver um plano de resposta a incidentes robusto tem um impacto crucial na redução dos efeitos de incidentes relacionados com fornecedores. Este plano deve incluir passos claros para identificar, conter e mitigar incidentes cibernéticos. Testar e atualizar regularmente o plano de resposta a incidentes, juntamente com a realização de exercícios simulados, garante que todos os membros da equipa estão bem preparados para lidar com potenciais crises.

Melhorar a Avaliação de Fornecedores e Diversificar Soluções de Segurança

As empresas precisam de avaliar cuidadosamente os fornecedores de segurança de TI antes de os selecionar. Isto inclui examinar as suas credenciais, situação financeira e conformidade com as normas da indústria. Utilizar diversos fornecedores pode reduzir vulnerabilidades e melhorar a resiliência operacional. Além disso, a utilização de ferramentas de monitorização contínua ajuda a detetar e resolver problemas rapidamente, garantindo que os fornecedores continuam a cumprir os requisitos da empresa.

Monitorizar Cuidadosamente o Acesso dos Fornecedores

As ferramentas de segurança, como o sensor Crowdstrike, devem ter acesso cuidadosamente controlado e monitorizado ao nível do sistema central. As empresas devem definir claramente a criticidade dos diferentes níveis de acesso com base na profundidade do sistema e no alcance da rede. Os fornecedores devem divulgar e justificar as suas necessidades de acesso específicas e ter planos de mitigação e recuperação para quaisquer problemas que as suas ferramentas possam causar em cada nível de risco.

Investir em Sistemas de Redundância e Failover

Para manter a continuidade do negócio durante problemas relacionados com fornecedores, as empresas precisam de implementar sistemas de backup e failover. Isto inclui a utilização de servidores redundantes, fontes de alimentação e equipamentos de rede. Os planos de failover ajudam a reduzir o tempo de inatividade, redirecionando o tráfego e os serviços para sistemas de backup quando ocorrem falhas. As empresas devem também considerar a utilização de balanceadores de carga e tecnologias de virtualização para aumentar a resiliência do sistema e otimizar a utilização de recursos.

Conclusão

O incidente da CrowdStrike destaca a importância crucial de as empresas manterem uma vigilância constante ao lidar com fornecedores de segurança de TI. Este evento sublinha a necessidade de uma avaliação rigorosa dos fornecedores, testes exaustivos e planos sólidos de resposta a incidentes. Ao implementar estas medidas, as empresas podem proteger-se melhor contra os efeitos generalizados de falhas de fornecedores e fortalecer as suas defesas gerais de cibersegurança.

À medida que o panorama digital continua a evoluir, a relação entre as empresas e os seus fornecedores de segurança de TI torna-se cada vez mais crítica. A monitorização do seu desempenho, a compreensão das suas práticas de segurança e a manutenção de planos de contingência robustos são estratégias essenciais para mitigar riscos. Em última análise, é crucial que as empresas permaneçam proativas na gestão das suas parcerias de segurança de TI. Se desejar rever a sua configuração de segurança e o risco de fornecedores, não hesite em contactar-nos para obter aconselhamento especializado.