Los usuarios de Microsoft en todo el mundo deberían revisar el estado de las configuraciones de seguridad de su infraestructura a raíz de la fallida actualización del software CrowdStrike que dejó fuera de línea a millones de dispositivos Windows en todo el mundo el viernes 19 de julio de 2024.
Como se indicó en una publicación de blog, escrita por el vicepresidente de seguridad empresarial y de sistemas operativos de Microsoft, David Weston, el 20 de julio de 2024, “este no fue un incidente de Microsoft”, sino uno que “afecta nuestro ecosistema” y había perturbado los negocios y “las rutinas diarias de muchas personas”.
Según los cálculos de Microsoft, alrededor de 8,5 millones de dispositivos Windows, lo que equivale a menos del 1% del total mundial de máquinas Windows en uso, se vieron afectados por el incidente.
Y si bien ese porcentaje puede parecer pequeño en el gran esquema de las cosas, Owen Sayers – un consultor de seguridad independiente con más de 20 años de experiencia asesorando a clientes del sector público y de la policía sobre cómo proteger sus sistemas – dijo que las cifras involucradas son “aterradoras” cuando junto con información extraída del propio blog de informes de incidentes de CrowdStrike.
Como lo confirma su “Detalles técnicos: actualización de contenido Falcon para hosts Windows”, la actualización de software corrupta que causó la interrupción del viernes 19 de julio solo estuvo en línea durante 78 minutos antes de ser eliminada y reemplazada por una versión reparada. “Afectó a menos del 1% de los dispositivos Windows globales en ese tiempo; eso es impresionante”, dijo Sayers, pero también tiene implicaciones preocupantes para el estado de nuestros sistemas de TI globales.
Saber que un error en un producto de seguridad de terceros podría causar tantos estragos en tan poco tiempo podría dar a los piratas informáticos de los estados-nación algo en qué pensar sobre cómo emprender su próxima ola de ataques.
“Los chinos y los rusos ahora saben cómo derribar los sistemas globales de TI: simplemente encuentre un producto de seguridad utilizado por su objetivo y modifique ese código”, dijo Sayers. “Y hay muchas posibilidades de que los aniquile en una hora y media”.
Interrupción del viaje
El incidente de CrowdStrike provocó interrupciones en los viajes en los principales aeropuertos y estaciones de tren, además de afectar las operaciones diarias de los consultorios de médicos de cabecera, minoristas y otras empresas que utilizan tecnologías de Microsoft. Y, en algunos casos, sus efectos todavía se sienten días después.
“A la gente le gusta pensar en cortes como este en términos de días completos o incluso de fines de semana. [of disruption being caused] “Debido al efecto continuo, pero cuando reduce la causa a una duración de menos de una hora y media, se vuelve más impactante”, dijo Sayers.
“Esta vez el error estuvo en un producto de terceros que sólo utiliza un número muy pequeño de organizaciones, pero observemos la escala y la extensión del daño”.
Teniendo esto en cuenta, ¿qué pasaría si un producto de terceros con mayores tasas de aceptación dentro de la comunidad de usuarios de Microsoft sufriera una actualización de software fallida similar? ¿O si Microsoft lanzara una actualización del sistema operativo o de un paquete de servicios para su base de usuarios que igualmente corriera el riesgo de bloquear los dispositivos de sus clientes?
Puede parecer una pregunta alarmante, pero Eric Grenier, analista director de Gartner for Technical Professionals, observador de mercado, dijo a Computer Weekly que cualquier proveedor de TI que se “conecte” al kernel de Windows de manera similar a CrowdStrike podría sufrir un destino similar. si lanzaran una actualización defectuosa.
“Incluso se puede ir un paso más allá y decir que cada proveedor que lanza una actualización tiene el potencial de lanzar un ‘parche incorrecto'”, afirmó.
Por esta razón, Grenier dijo que la situación debería hacer reflexionar a toda la industria del software para asegurarse de que no se conviertan en el próximo CrowdStrike. “Este es un buen momento para que todos en la industria del software revisen sus procesos de garantía de calidad, así como sus procesos de prueba de actualización de software, y los fortalezcan lo mejor que puedan”, añadió.
Protección del usuario
Las organizaciones de usuarios finales cuyos sistemas Windows no se vieron afectados por la actualización del viernes 19 de julio deberían ver la situación como una llamada de atención, en lugar de un escape afortunado, dijo Rich Gibbons, jefe de desarrollo y compromiso del mercado de gestión de activos de TI en una asesoría independiente de licencias de software. Synyega.
“Si su organización evitó este problema, [it is] probablemente porque no son clientes de CrowdStrike, así que tómenlo como una llamada de atención”, dijo a Computer Weekly.
“Desafortunadamente, todas las organizaciones están abiertas al riesgo de que su negocio se vea afectado negativamente si un proveedor externo comete un gran error. Aceptar ese riesgo y tener una sólida planificación de recuperación ante desastres y continuidad del negocio. [strategy] es clave y debe ser una prioridad para todas las empresas”.
También es imprescindible contar con sistemas sólidos de gestión de activos de TI (ITAM) y de gestión de activos de software (SAM), continuó Gibbons. “Saber qué software y hardware tienes, dónde está, [as well as its] El soporte y el estado de fin de vida, el último parche y el tiempo de actualización y los datos también son clave para tener un plan eficaz de recuperación ante desastres y continuidad del negocio, ya sea que los recursos estén en las instalaciones o en la nube dentro de entornos híbridos”, dijo.
Como señala Grenier de Gartner, contar con una estrategia de recuperación ante desastres y continuidad del negocio es una cosa, pero las empresas también deben asegurarse de probarlas periódicamente.
“Esta no es la última vez que un proveedor lanzará un ‘parche incorrecto’, por lo que para mitigar el riesgo, las organizaciones clientes deberán revisar [these] estrategias y realmente probarlas para asegurarse de que cumplan con el estándar que buscan en términos de ‘tiempo de recuperación’”, dijo.
“Las organizaciones también deberían aprovechar la oportunidad para revisar qué aplicaciones en su entorno están en ‘actualización automática’ y evaluar las posibles consecuencias de una ‘mala actualización'”.
Eso no quiere decir que Grenier esté defendiendo que debería haber una desactivación general de la funcionalidad de “actualización automática” en todas las empresas de todo el mundo para mitigar el riesgo de que ocurra otro CrowdStrike.
“Eso debería estar determinado por el nivel de aceptación de riesgos de la organización y si pueden parchear las aplicaciones por sí mismas”, afirmó. “Las empresas deben tener un inventario documentado de qué aplicaciones están configuradas para ‘actualizarse automáticamente’, si se puede desactivar o no la ‘actualización automática’ y saber cuál podría ser el impacto si se entrega una actualización o parche incorrecto para cada conjunto de aplicaciones. para ‘actualizar automáticamente’.
“Si eligen actualizar las aplicaciones manualmente, también necesitarán crear procesos y flujos de trabajo en torno a las actualizaciones de prueba para cada aplicación”, dijo Grenier.