La interrupción global de Microsoft causada por una actualización fallida de la firma de seguridad CrowdStrike ha puesto de relieve el peligroso riesgo de continuidad del negocio que surge de concentrar gran parte de la infraestructura tecnológica mundial en manos de un número muy pequeño de empresas, advierten los expertos.
La interrupción, que comenzó a última hora del jueves 18 de julio de 2024 antes de extenderse por todo el mundo y aparecer en los titulares a primera hora de la mañana del viernes 19 de julio, provocó que una actualización de CrowdStrike con errores pasara por el control de calidad y se implementara en todo el mundo. Cuando llegaba a las computadoras, las lanzaba a lo que se conoce como bucle de arranque, provocando que fallaran al iniciarse y mostraran la infame pantalla azul de la muerte.
Se estima que afectó sólo a unos 8,5 millones de máquinas, que es una fracción del total mundial, pero como muchas de ellas pertenecen a organizaciones públicas, las imágenes de pantallas tapiadas en lugares como aeropuertos, estaciones de tren y tiendas rápidamente se volvieron virales. .
Citando datos de un estudio que su empresa publicó en mayo de 2024, el director ejecutivo y cofundador de SecurityScorecard, Aleksandr Yampolskiy, reveló que los productos y servicios de TI fabricados por solo 150 empresas representan el 90 % del servicio de ataque global, mientras que el 62 % de la superficie de ataque global es concentrado en las alineaciones de sólo 15 empresas tecnológicas, incluida Microsoft.
Clasificadas en el sistema de calificación patentado de Security Scorecard, el estudio original afirmó que todas esas 15 organizaciones tenían calificaciones de riesgo de seguridad cibernética por debajo del promedio, y dado que se sabe que las bandas de ransomware (y otras) atacan sistemáticamente las vulnerabilidades de terceros a escala, esto debería ser un preocupación significativa para los equipos de TI.
Yampolskiy describió el estado de gran parte de la TI global como una “casa precaria al borde de un acantilado” y dijo que al concentrar servicios de misión crítica en unas pocas grandes empresas, las empresas han creado un único punto de falla.
“Cuando trabajaba en Goldman Sachs, la política era obtener herramientas de múltiples proveedores”, dijo. “De esta manera, si un proveedor deja caer un firewall, tendrá otro proveedor que puede ser más resistente. [Friday’s] La interrupción global es un recordatorio de la fragilidad y el riesgo sistémico de concentración de ‘enésimas partes’ de la tecnología que rige la vida cotidiana: aerolíneas, bancos, telecomunicaciones, bolsas de valores y más.
Agarrando el caos
Yampolskiy dijo que los hallazgos de la encuesta enfatizan cómo una proporción significativa de la superficie de ataque externo global está controlada por un pequeño número de organizaciones, y que apenas estamos comenzando a comprender el caos (que se puso de relieve gracias a los eventos en CrowdStrike) que esto podría causa.
Sostuvo que el incidente de CrowdStrike demostró acertadamente cómo conocer su cadena de suministro (KYSC) se estaba convirtiendo en una parte cada vez más importante de la resiliencia operativa, y agregó que los equipos de TI necesitaban comprender mejor las dependencias en su negocio y las de sus proveedores de tecnología, y que ese conocimiento Es fundamental para responder eficazmente a las interrupciones, ya sean resultado de ataques cibernéticos maliciosos, errores humanos o cualquier otra cosa.
“Comprender y gestionar su cadena de suministro es fundamental para mitigar estos riesgos”, afirmó Yampolskiy. “Al identificar de forma proactiva las dependencias y posibles vulnerabilidades dentro de su ecosistema, puede fortalecer la resiliencia de su organización frente a eventos tan disruptivos.
“Un apagón es sólo otra forma de incidente de seguridad”, dijo. “La antifragilidad en estas situaciones proviene de no poner todos los huevos en una sola canasta. Necesita tener diversos sistemas, saber dónde están los puntos únicos de falla y realizar pruebas de estrés de manera proactiva mediante ejercicios teóricos y simulaciones de interrupciones. Considere el concepto del ‘mono del caos’, en el que deliberadamente daña sus sistemas; por ejemplo, cierra su base de datos o hace que su firewall funcione mal para ver cómo reaccionan sus computadoras”.