Como resultado, el precio de las acciones de Crowdstrike y de Microsoft se desplomó y las empresas están ofreciendo (y actualizando) consejos sobre cómo las organizaciones pueden recuperar las estaciones de trabajo y los puntos finales afectados.
La restauración puede no ser un gran problema para las organizaciones del sector de TI y con una cantidad saludable de personal de TI, pero probablemente será un proceso largo para las empresas que han externalizado su departamento de TI o tienen una gran cantidad de sistemas basados en Windows afectados que están dispersos y no pueden recibir servicio rápido en masa (por ejemplo, quioscos de información, sistemas de visualización, sistemas PoS, etc.).
Mientras tanto, los usuarios del subreddit donde los administradores de sistemas se reúnen y hablan de negocios están compartiendo métodos y procedimientos que han ideado/utilizado para lograr que muchas máquinas funcionen rápidamente.
Los actores de amenazas se aprovechan del caos
“[El incidente] costará miles de millones a las empresas, dará lugar a acciones legales y afectará a las empresas y a los usuarios de una forma que nunca hemos visto antes”, dijo Guy Golan , director ejecutivo y presidente ejecutivo de Performanta, a Help Net Security.
“Los atacantes pueden tener más conciencia de quién está usando CrowdStrike como resultado de ver cómo se desarrolla esto, lo que podría causar más complicaciones de ciberseguridad en el futuro”.
También es posible y probable que algunos actores de amenazas aprovechen el caos que actualmente interrumpe el trabajo habitual de los equipos de TI y seguridad y el monitoreo de intrusiones.
Crowdstrike ha advertido a las organizaciones que se aseguren de comunicarse con los representantes de la empresa a través de los canales oficiales. El Dr. Johannes Ullrich , decano de investigación del SANS Technology Institute, ha recibido informes de correos electrónicos de phishing que afirman provenir de “Crowdstrike Support” o “Crowdstrike Security”.
«No tengo ninguna muestra en este momento, pero es probable que los atacantes estén aprovechando la gran atención de los medios. Tengan cuidado con los ‘parches’ que puedan distribuirse de esta manera», agregó .
Las organizaciones deben planificar la resiliencia cibernética
“Lo que hoy demuestra es que en el mundo empresarial moderno de hoy en día nos hemos vuelto muy dependientes de Internet y de los sistemas de TI. Por eso, las organizaciones necesitan considerar los riesgos cibernéticos como riesgos empresariales y no simplemente como riesgos de TI y planificar su gestión en consecuencia”, afirmó Brian Honan , director ejecutivo de BH Consulting, a Help Net Security.
“En particular, las organizaciones necesitan diseñar, implementar y probar periódicamente planes sólidos de resiliencia cibernética y continuidad empresarial, no solo para sus propios sistemas, sino también para los servicios y sistemas de los que dependen dentro de su cadena de suministro. Los acontecimientos de hoy resaltan la importancia de regulaciones como la Directiva NIS2 de la UE y la DORA de la UE para garantizar que las organizaciones tomen las medidas adecuadas para gestionar el riesgo cibernético dentro de sus propias organizaciones y, lo que es igual de importante, dentro de su cadena de suministro”.
Debido a la intervención manual necesaria, el tiempo de recuperación de este problema podría terminar siendo largo, señaló, y aconsejó a las organizaciones priorizar los sistemas que son más críticos para su negocio y recuperarlos en orden de prioridad.
“Otro aspecto de este incidente se relaciona con la ‘diversidad’ en el uso de la infraestructura de TI a gran escala”, afirma Tony Anscombe , Evangelista Jefe de Ciberseguridad en ESET.
“Esto se aplica a sistemas críticos como sistemas operativos (OS), productos de ciberseguridad y otras aplicaciones implementadas (a escala) globalmente. Cuando la diversidad es baja, un solo incidente técnico, por no hablar de un problema de seguridad, puede provocar interrupciones a escala global con sus consiguientes efectos secundarios”.
Es muy posible –y, de hecho, muy probable– que algunas de las perturbaciones que ocurrieron hoy en todo el mundo fueran parte de esto último.
Resolviendo los problemas más grandes
Crowdstrike lanzó recientemente una actualización para Falcon Sensors en Windows que tenía un error que también incapacitaba algunos sistemas, pero no era tan perjudicial como este problema más reciente.
“Será necesario hacerle preguntas a CrowdStrike sobre qué salió mal con sus procesos de prueba y control de calidad para garantizar que no hubo impacto en sus clientes y qué van a hacer para garantizar que no se repita el problema de hoy”, agregó Honan.
Tom Lysemose Hansen , director de tecnología de Promon, dice que los problemas que provocan pesadillas asociados con la implementación de una actualización o parche defectuoso como este son la verdadera razón por la que la mayoría de las empresas esperan alrededor de un mes antes de decidir implementarlos.
Desafortunadamente, el agente Falcon solicita y generalmente se le conceden permisos para implementar actualizaciones automáticamente.
Jake Williams , ex hacker de la NSA y vicepresidente de investigación y desarrollo de Hunter Strategy, señaló que este incidente resalta los riesgos de que los servicios basados en SaaS quiten los ciclos de actualización de las manos de los administradores de sistemas.
“Muchos equipos de seguridad no se dan cuenta de que las actualizaciones de firmas de sus plataformas de protección de endpoints a menudo contienen código, lo que agrava aún más el problema. Deberíamos esperar ver cambios en este modelo operativo. Para bien o para mal, CrowdStrike acaba de demostrar por qué este modelo operativo de enviar actualizaciones sin la intervención de TI es insostenible”, opinó.
Fuente y redacción: Zeljka Zorz / helpnetsecurity.com