HOTLINE Kỹ Thuật: 098.114.9449

Hướng dẫn của Sophos sau sự cố của Crowdstrike

01/08/2024 10:56 765 lần Chuyên mục: Tin tức

Quan điểm của Sophos về những gì đã xảy ra và câu trả lời cho các câu hỏi chính từ khách hàng và đối tác của Sophos.

Quan điểm của Sophos với sự cố của Crowdstrike

Ngày 19/7, hàng triệu thiết bị xuất hiện thông báo lỗi “màn hình xanh chết chóc” (Blue Screen of Death – BSoD) sau khi CrowdStrike triển khai bản cập nhật Falcon Sensor cho Windows. Đây được xem là sự cố rộng lớn nhất liên quan đến BSoD kể từ khi tính năng này ra đời. Điều đó dẫn đến sự gián đoạn cho các tổ chức trên toàn thế giới trong nhiều ngành, bao gồm du lịch, ngân hàng, chăm sóc sức khỏe và bán lẻ.

Các tác nhân đe dọa thường sử dụng các sự cố và gián đoạn quy mô lớn làm cơ hội để lợi dụng nạn nhân. Bài viết này sẽ chia sẻ quan điểm của Sophos về những đã xảy ra với Crowdstrike và trả lời các câu hỏi quan trọng cho khách hàng và đối tác của Sophos.

Mục tiêu của tất cả các công ty trong lĩnh vực an ninh mạng bao gồm Sophos và các đối thủ cạnh tranh, là giữ cho các tổ chức an toàn và bảo vệ họ khỏi những kẻ tấn công. Tuy các nhà cung cấp cạnh tranh với nhau trên thị trường, nhưng điều quan trọng nhất là họ là một cộng đồng đoàn kết chống lại tội phạm mạng, giống như kẻ thù chung. Sophos mở rộng hỗ trợ ngang hàng cho CrowdStrike tại thời điểm xảy ra sự cố và chúc mọi tổ chức bị ảnh hưởng phục hồi nhanh chóng và trở lại bình thường.

An ninh mạng là một bối cảnh vô cùng phức tạp và phát triển nhanh chóng. Joe Levy, CEO của Sophos, cho biết trên LinkedIn rằng “Đối với những người trong chúng ta có thể sống trong hạt nhân, điều này có thể đã xảy ra với chúng ta vào lúc này hay lúc khác, và bất kể chúng ta thực hiện các biện pháp phòng ngừa nào, chúng ta cũng không bao giờ miễn nhiễm 100%”.

Sự cố của Crowdstrike

Sự cố màn hình xanh gây ra bởi CrowdStrike bắt nguồn từ một bản cập nhật phần mềm chưa được kiểm thử kỹ càng. Ảnh: Mashable

Tóm tắt sự cố của Crowdstrike

  • Đây không phải là kết quả của sự cố bảo mật tại CrowdStrike và cũng không phải là một cuộc tấn công mạng.
  • Mặc dù không phải là kết quả của sự cố bảo mật, nhưng an ninh mạng bao gồm tính bảo mật, tính toàn vẹn và cả tính khả dụng. Rõ ràng là tính khả dụng đã bị ảnh hưởng, vì vậy đây chắc chắn là một lỗi an ninh mạng.
  • Sự cố dẫn đến “màn hình xanh chết chóc” (BSOD) trên máy tính Windows là do bản cập nhật “nội dung” sản phẩm được triển khai cho khách hàng của CrowdStrike.

  • Các tổ chức chạy CrowdStrike Falcon agent trên máy tính và máy chủ Windows có thể đã bị ảnh hưởng. Các thiết bị Linux và macOS không bị ảnh hưởng bởi sự cố này.
  • CrowdStrike đã xác định việc triển khai nội dung liên quan đến sự cố này và đã hoàn nguyên những thay đổi đó. Hướng dẫn khắc phục đã được ban hành cho khách hàng của CrowdStrike. (Xem bản hướng dẫn khắc phục)

Lưu ý về các bản cập nhật “nội dung”

Đây là bản cập nhật “nội dung” sản phẩm thông thường cho phần mềm bảo mật điểm cuối của CrowdStrike—loại bản cập nhật mà nhiều nhà cung cấp phần mềm (bao gồm cả Sophos) cần thực hiện thường xuyên.

Các bản cập nhật nội dung, đôi khi được gọi là bản cập nhật bảo vệ, cải thiện logic bảo vệ của sản phẩm bảo mật điểm cuối và khả năng phát hiện các mối đe dọa mới nhất của sản phẩm đó. Trong trường hợp này, bản cập nhật nội dung từ CrowdStrike đã gây ra những hậu quả đáng kể không lường trước được. Tuy nhiên, không có nhà cung cấp phần mềm nào là hoàn hảo và các sự cố như thế này có thể (và thực sự) ảnh hưởng đến các nhà cung cấp khác, bất kể ngành nào.

Phản hồi của Crowdstrike về sự cố

CrowdStrike đã ban hành một tuyên bố trên trang web của mình với hướng dẫn khắc phục cho khách hàng. Nếu bạn bị ảnh hưởng bởi sự cố hoặc nhận được yêu cầu từ khách hàng sử dụng CrowdStrike, vui lòng tham khảo trang CrowdStrike chính thức này: https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub

Như thường lệ, cảnh giác là rất quan trọng. Tội phạm mạng đang đăng ký các tên miền có khả năng gây hại (typo-squatting) và sử dụng “CrowdStrike remediation” trong các chiến dịch lừa đảo để cố gắng lợi dụng nạn nhân. Nếu bạn liên hệ hoặc được CrowdStrike liên hệ, vui lòng xác nhận rằng bạn đang nói chuyện với một đại diện được ủy quyền.

Hướng dẫn và câu trả lời của Sophos đối với sự cố Crowdstike

Khách hàng của Sophos có bị ảnh hưởng bởi sự cố Crowdstrike không?

Khách hàng sử dụng Sophos để bảo vệ điểm cuối, bao gồm cả những khách hàng sử dụng Sophos Endpoint với Sophos XDR hoặc Sophos MDR, đều không bị ảnh hưởng. Một số ít khách hàng sử dụng agent “XDR Sensor” của Sophos (có sẵn với Sophos XDR và ​​Sophos MDR) làm lớp phủ trên CrowdStrike Falcon có thể đã bị ảnh hưởng.

Sophos làm gì để giảm thiểu rủi ro xảy ra sự cố gián đoạn dịch vụ tương tự?

Mọi sản phẩm bảo vệ điểm cuối, bao gồm cả Sophos Endpoint, đều cung cấp các bản cập nhật sản phẩm thường xuyên và liên tục phát hành các bản cập nhật bảo vệ (nội dung). Các mối đe dọa thích ứng nhanh chóng và các bản cập nhật logic bảo vệ kịp thời là điều cần thiết để theo kịp bối cảnh mối đe dọa liên tục thay đổi.

Với hơn ba thập kỷ cung cấp các giải pháp bảo vệ điểm cuối hàng đầu và rút ra nhiều bài học từ các sự cố trước đây của Sophos và ngành, Sophos có các quy trình và thủ tục mạnh mẽ để giảm thiểu rủi ro gián đoạn khách hàng. Tuy nhiên, rủi ro đó không bao giờ bằng không.

Tại Sophos, tất cả các bản cập nhật sản phẩm đều được thử nghiệm trong môi trường đảm bảo chất lượng nội bộ được xây dựng có mục đích trước khi đưa vào sản xuất. Sau khi đưa vào sản xuất, các bản cập nhật sản phẩm sẽ được phát hành nội bộ cho tất cả nhân viên và cơ sở hạ tầng của Sophos trên toàn thế giới.

Chỉ khi tất cả các thử nghiệm nội bộ hoàn tất và Sophos hài lòng rằng bản cập nhật đáp ứng các tiêu chí chất lượng, bản cập nhật mới được phát hành dần dần cho khách hàng. Sự phát hành sẽ bắt đầu chậm rãi, tăng dần tốc độ và được phân bổ trên toàn bộ cơ sở khách hàng. Dữ liệu từ xa được thu thập và phân tích theo thời gian thực. Nếu có sự cố với bản cập nhật, chỉ một số ít hệ thống bị ảnh hưởng và Sophos có thể khôi phục rất nhanh.

Khách hàng có thể tùy chọn kiểm soát các bản cập nhật sản phẩm Sophos Endpoint (không phải bản cập nhật bảo vệ) bằng cách sử dụng cài đặt chính sách quản lý cập nhật. Các tùy chọn gói phần mềm bao gồm Recomended (do Sophos quản lý), Fixed-term support và Long-term support, với khả năng lên lịch ngày và giờ khi cập nhật diễn ra.

Cũng giống như các bản cập nhật sản phẩm, tất cả các bản cập nhật nội dung Sophos Endpoint đều được thử nghiệm trong môi trường đảm bảo chất lượng của Sophos trước khi đưa vào sản xuất. Mỗi bản phát hành được xem xét để đảm bảo đáp ứng các tiêu chuẩn chất lượng của Sophos. Các bản phát hành nội dung cho khách hàng được dàn dựng như một phần trong các biện pháp kiểm soát QA đang diễn ra của Sophos. Và họ theo dõi và điều chỉnh các bản phát hành dựa trên dữ liệu đo từ xa khi cần thiết.

Sophos tuân theo vòng đời phát triển an toàn để đảm bảo các giải pháp được xây dựng an toàn và hiệu quả, được nêu chi tiết trong Sophos Trust Center. Bạn có thể tìm thấy thông tin bổ sung về các nguyên tắc phát hành và phát triển cho Sophos Endpoint trong Sophos knowledgebase.

Nguồn: Sophos

Để tìm hiểu thêm các giải pháp Sophos, bạn có xem thêm tại đây.


CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS

HCM: 55/10 Trần Đình Xu, Phường Cầu Kho, Quận 1, TP. HCM

028 2055 2868

Hà Nội: Số 29, Lê Đại Hành, Q Hai Bà Trưng

024 3555 3030

Email: info@dass.vn

Fanpage: DASS – Sophos Việt Nam