Navegando por la interrupción de CrowdStrike: opiniones de un veterano de la industria tecnológica

Como experimentado CIO/CISO y analista de la industria tecnológica con 35 años de experiencia, he visto una buena cantidad de incidentes de ciberseguridad. Sin embargo, la reciente interrupción de CrowdStrike se destaca por su impacto de gran alcance en múltiples sectores. A continuación presentamos una mirada en profundidad a lo que sucedió, las repercusiones y las lecciones que todos podemos aprender de este incidente.

Antecedentes y reacción inicial
Comencé mi viaje en TI a finales de los 80, cuando escribí un software llamado PleadPerfect. A lo largo de los años, he desempeñado muchos roles: ingeniero, arquitecto y ejecutivo en empresas grandes y pequeñas. Durante los últimos 18 años, he sido CIO/CISO para organizaciones con ingresos de entre 8 y 11 cifras.

Cuando escuché por primera vez sobre la interrupción relacionada con CrowdStrike, mi reacción inicial fue de gran preocupación. Me tomé un momento de silencio en honor a las horas perdidas que mis amigos y compañeros profesionales de TI sacrificaron con sus familias para solucionar un problema que nunca debería haber sucedido. La falta de buenas prácticas de control de calidad demostradas por CrowdStrike es muy preocupante. Deberían haber detectado este problema en las pruebas antes de lanzarlo al público. El hecho de que haya afectado a todos los sistemas operativos Windows desde 2008 es imperdonable.

Comprender el incidente
El software Falcon de CrowdStrike está instalado en el núcleo del sistema operativo, que es la forma en que protege las máquinas de manera tan efectiva. Sin embargo, esta estrecha integración también causa problemas importantes cuando las actualizaciones no se prueban adecuadamente. La actualización defectuosa provocó casos generalizados de «Pantalla azul de la muerte» (BSOD), lo que provocó que las máquinas fallaran y no se recuperaran automáticamente. El proceso de recuperación implicó arrancar las máquinas en modo seguro y eliminar un archivo CrowdStrike, una tarea complicada por la falta de capacidad para ingresar de forma remota al modo seguro en cualquier dispositivo/sistema operativo. Además, las mejores prácticas dictan proteger la unidad de arranque con BitLocker, que requiere una clave para desbloquear e ingresar al modo seguro. Estas claves suelen almacenarse en sistemas también afectados por esta falla, lo que aumenta considerablemente el esfuerzo y el tiempo necesarios para la recuperación.

Incidentes como este no son infrecuentes en la industria de la ciberseguridad, pero éste es particularmente dañino porque surge de un problema de control de calidad y pruebas, no de una violación de la ciberseguridad. La estrecha integración entre Falcon y el sistema operativo hizo que el daño fuera mucho más generalizado y el proceso de recuperación mucho más oneroso.

Impacto en empresas y servicios
Todos los sectores e industrias se vieron afectados, pero los sectores críticos de infraestructura fueron los más afectados. El transporte (aerolíneas), los servicios bancarios/financieros y la atención médica (hospitales y salas de emergencia) representan el mayor riesgo para las economías mundiales cuando se ven afectados. Las tres aerolíneas más grandes de Estados Unidos, así como las de todo el mundo, experimentaron vuelos en tierra y problemas de comunicación. Los bancos de muchos países dejaron de funcionar y las redes hospitalarias sufrieron importantes perturbaciones.

Respuesta y Resolución
La respuesta de CrowdStrike al incidente fue rápida, pero no estoy seguro de qué más pueden hacer en este momento. No sentí que la disculpa de George Kurtz (el director ejecutivo) fuera «enérgica» y asumí suficiente responsabilidad por el incidente. Esto no es culpa de nadie más que de CrowdStrike. Si bien se han comprometido a ayudar a todos los afectados, tienen 24.000 clientes, todos los cuales están afectados, por lo que no pueden brindarles a todos la atención que necesitan. Esta interrupción está causando daños a esas empresas por miles de millones de dólares.

Lecciones aprendidas
Las principales lecciones de este incidente son claras: tenga cuidado al confiar en otras empresas y socios. Asegúrese de que sus contratos le permitan demandar por daños y perjuicios, ya que este puede ser el único recurso en tales situaciones. Tenga un plan integral de recuperación ante desastres (DR) y pruébelo periódicamente. La cantidad de empresas que tienen que reconstruir su infraestructura de respaldo solo para restaurar sistemas porque no pueden acceder (o no tienen) sus claves BitLocker es demasiado grande.

Para prepararse mejor y prevenir problemas similares, desarrolle y pruebe cuidadosamente sus planes de recuperación. Considere utilizar un conjunto completamente diferente de herramientas de seguridad para respaldo y recuperación para evitar vectores de ataque similares. Trate la infraestructura de respaldo y recuperación como una función comercial crítica y fortalézcala tanto como sea posible.

El futuro de la ciberseguridad
El tiempo dirá cómo este incidente influye en las prácticas y políticas futuras de ciberseguridad. Entre los problemas de SolarWinds y CrowdStrike, los cuales son fallas en las mejores prácticas de las propias empresas, algo tiene que cambiar.

Las tecnologías emergentes como la inteligencia artificial y el aprendizaje automático pueden ayudar a predecir y prevenir problemas similares al identificar vulnerabilidades potenciales antes de que se conviertan en problemas. Sin embargo, la verdadera solución puede estar en modernizar los procesos y posiblemente hacer que organismos independientes auditen y certifiquen las prácticas de las empresas de tecnología.

Perspectivas personales
Como alguien profundamente involucrado en la industria de la tecnología, me mantengo actualizado con las últimas tendencias y amenazas de ciberseguridad leyendo extensamente, siguiendo los desarrollos de la industria, consumiendo contenido relevante, hablando con mis pares y saliendo de mi silo para compartir y aprender. de otros.

Mi consejo para mis colegas CIO y CISO es simple: planifiquen para lo peor y prueben para lo peor. Si no se prepara para este tipo de incidentes, estará en la peor posición posible cuando la junta le solicite su respuesta.

Pensamientos finales
La reciente interrupción de CrowdStrike fue una llamada de atención para muchos en la industria tecnológica. Destacó las vulnerabilidades inherentes a nuestro mundo interconectado y enfatizó la necesidad de medidas sólidas de seguridad cibernética. Si aprendemos de este incidente e implementamos las lecciones descritas anteriormente, podremos prepararnos mejor y evitar problemas similares en el futuro.

Manténgase alerta, manténgase preparado y sigamos fortaleciendo nuestras defensas contra el panorama de amenazas a la ciberseguridad en constante evolución.