כלי עבודה
unibo - יוניבו ישראל

באג 2024: תקלה בתוכנת CrowdStrike גרמה להשבתת שרתים גלובלית

מסך שגיאה כחול וינדאוס
UNIBO ישראל > מאמרים > באג 2024: תקלה בתוכנת CrowdStrike גרמה להשבתת שרתים גלובלית

כשהעולם נצבע בכחול: מה למדנו מהתקלה של CrowdStrike שהקריסה שרתים בכל העולם ומה חשוב לדעת על זה

חברת CrowdStrike פרסמה ב-19 ליולי התראה טכנית לגבי בעיה דרמטית שקשורה לתוכנת האנטי-וירוס שלה מסוג EDR, בסנסור Falcon במערכות Windows שמריצות אותו. הבעיה יצרה תקלה שגרמה לקריסה עם שגיאת blue screen, מסך כחול, או בשפה בוטה יותר “המוות הכחול”.

האירוע הסב נזקים אדירים ב-5 יבשות ואפילו מערך הסייבר הלאומי של ישראל מיהר לפרסם הנחיות בעברית לארגונים ועסקים מקומיים.

 

האם מדובר בתקלת ה-IT הגדולה בהיסטוריה?

ללא ספק אחת מהגדולות. לא בכל יום יש בעיה שהמקור שלה הוא בחברה עם כ-8,000 עובדים, שהשווי שלה מוערך בכ-83 מיליארד דולרים ושיש לה פורטפוליו לקוחות עם חברות אנררגיה בינלאומיות, חברות אשראי, בתי חולים, בנקים, חברות תעופה, שדות תעופה ועוד. כולל לא מעט נציגים ישראליים כמו אל-על, בנק המזרחי, בנק לאומי ועוד. כן, עד לרמה שתקלה באוסטין, טקסס, גרמה לכך שלקוחות של בנקים ישראלים לא יכלו להיכנס לחשבון שלהם, ונציגים מהצד השני לא יכלו לתת תמיכה ושירות.

מומחים מעריכים שההפסד הכספי הישיר מהתקלה לחברות Fortune 500 בארה”ב עלול להגיע ל-5.4 מיליארד דולרים.

 

מה בעצם קרה?

החיישן Falcon המובנה באנטי-ווירוס של CrowdStrike הוא חיישן שמטרתו לספק הגנה בזמן אמת כנגד איומי סייבר המזוהים על בסיס התנהגות. הבעיה נגרמה לאחר עדכון גרסה של מוצר האנטי-ווירוס שהופץ ללקוחות על ידי CrowdStrike וגרם לתקלת “מסך כחול” במערכות Windows. לקוחות החברה שפזורים בכל קצוות תבל החלו לחוות קריסות שרתים והמציאות הפכה לכאוטית – ביטול טיסות, השבתת בתי חולים, מניעת כניסת משתמשים לשירותי חברות ענק וחברות אשראי שחזרו לעבוד עם דף ונייר. כן, ממש ככה.

CrowdStrike ניסתה להגיב במהירות, והעמידה לטובת העניין צוותי הנדסה אשר הועסקו מסביב לשעון. במקביל המליצה החברה למשתמשים להיות במעקב צמוד אחר עדכוני הסטאטוס בפורטל התמיכה. בשלב ראשון, עם זאת, CrowdStrike לא הייתה יכולה להציע פתרון זמני יעיל, והצוותים הטכניים של לקוחות שנפגעו נאלצו לעבוד באופן ידני ולשנות פיסית את הערכים במחשב (בדיוק כמו שזה נשמע).

CrowdStrike ו-Microsoft דיווחו אמנם שהתקלה טופלה אבל מיותר לציין שלעשות אתחול (restart) למערכת כל-כך גדולה זה לא עניין של רגע. תהליך החזרה לשגרה ארך ימים ארוכים. ימים שבהם מניית CrowdStrike קרסה ומשתמשים ברשת התבדחו על כך שהפתרון היחיד הבטוח שנותר להם הוא לקנות בולים וכרטיסי טלכרט ולחזור למקורות.

 

מה אנחנו לומדים מזה?

קשה עדיין להסיק מסקנות אבל דבר אחד ברור. התלות הגוברת של מערכות של ארגונים גדולים בתקינות ה-IT יכולה לגרום לאירועים נקודתיים להפוך לכאוס גלובלי. ייתכן בהחלט שגם ממשלות וחברות פרטיות צריכות לדאוג לפיזור סיכונים בכדי לייצר לעצמם רשתות הגנה נוספות ולא לשים את כל “ביצי הסייבר” בסל אחד.

 

מה קורה אצלנו ביוניבו? SentinelOne ונהנים

התקלה באנטי ווירוס של CrowdStrike לא הורגשה במערכות של יוניבו (תודה לאל) שפועלות עם המוצר המקביל SentinelOne (חברת סייבר אשר מציעה פתרונות הגנה על נקודות קצה). אנחנו מאמינים מאד בעוצמה הטכנולוגית של סנטינל-וואן, לא רק בגלל היותה גאווה ישראלית וסטארט-אפ ישראלי מצליח עם תוצאות שאי אפשר להישאר אדישים להן.

אגב, גם אחד מהמנכ”לים המייסדים של סנטינל-וואן, עומר וינגרטן, לא פספס את ההזדמנות “לעקוץ” את המתחרה, תוך שהוא מכוון לכך שבעוד שהתקלה נגרמה מעדכון של החיישן, הרי ש-SentinelOne מתגאה בשיעורי עדכון נמוכים בגלל היכולת הגבוהה שלה במישורים של לימוד מכונה (Machine Learning) ו-AI.

“אנחנו אומרים את זה כבר שנים”, אמר וינגרטן, “המערכת הטובה ביותר היא כזו שלא זקוקה לעדכונים תכופים. זו מערכת שהאלגורימים שלה משובצים ב-AI ויכולים להתפתח עצמית, מבלי שהם תלויים בעדכונים בכל פעם שיש גרסה חדש או איום חדש”.

גם אנחנו, ביוניבו, רואים ב-SentinelOne בחירה מצוינת

כולל כמה סיבות שיכולות לפעמים להיות יתרונות על פני מתחרים כמו CrowdStrike, למשל:

  • אנטי וירוס בעולם של AI – תוכנת SentinelOne מתחברת מצוין עם המגמות בעולם המחשוב של שילוב כלי AI ולמידת מכונה (ML). התוכנה לומדת את העבודה השוטפת של המשתמש והאנטי-וירוס “נדרך” בכל רגע שהוא מזהה התנהגות שונה מהרגיל.
  • יכולות מצוינות של תגובה אוטומטית – SentinelOne ידועה היטב ביכולות התגובה הגבוהות שלה לזהות, להגיב ולתקן איומים באופן אוטונומי, ללא מגע יד אדם.
  • הגנה מאוחדת לנקודות קצה – SentinelOne מספקת פתרון של סוכן יחיד אשר מקיף מגוון רחב של פונקציות, כולל EPP (הגנה על נקודות קצה), EDR (זיהוי ותגובה של נקודות קצה), ואבטחה מעולה של IoT. ההגנה המאוחדת הזו על נקודות הקצה מאפשרת ללקוחות שמשתמשים ב-SentinelOne לפשט את הניהול והפריסה (במיוחד בהשוואה לארכיטקטורה המודולרית של CrowdStrike שדורשת לעתים סוכנים נפרדים לפונקציות שונות).
  • הגנה לא מקוונת – תוכנת SentinelOne מציעה הגנות חזקות גם במצב לא מקוון בזכות מודלים מתקדמים ביותר של AI ולמידת מכונה, המזהים ומפחיתים איומים גם כשנקודת הקצה לא מחוברת לרשת.
  • שחזור נתונים במתקפת כופר – SentinelOne ידועה ביכולתה הגבוהה לשחזר קבצים מוצפנים ונתונים קריטיים למצב שלפני תקיפת כופר. תכונה סופר-חשובה שמסייעת למזעור משמעותי של נזקי השפעות מתקפות כופר אפילו מבלי להזדקק לגיבוי חיצוני. אנחנו מדברים כאן מניסיון וביוניבו ראינו ממש לנגד עינינו איך סנטינל-וואן משחזרת ללקוחות נתונים אחרי מתקפת כופר ומונעת נזקים עצומים.

 

לסיכום

תקלת העדכון של האנטי-וירוס של CrowdStrike לימדה אותנו (שוב) שגם בשירותי IT וסייבר אין אף פעם 100%. קו המגע לעולם ייפרץ. שם שתוכנות ההגנה והאנטי-ווירוס הופכות למתוחכמות וחכמות יותר, כך גם האיומים מעלים את הרף. בכל הגנה יכולות להיות תקלות ולפעמים הבעיה מגיעה מבפנים כמו במקרה של Falcon שהפיל את המערכת עליה הוא אמור להגן.

בחברת יוניבו אנחנו תמיד מדגישים שבכל עדכון כדאי לפעול באופן מדורג. למשל, לעדכן קודם כל מחלקה אחת ורק לאחר מכן “לרוץ” רוחבית על כל הארגון. כדאי גם לבדוק ביקורות וחוות דעת על העדכון ולקבל מושג מחברות שכבר עברו את התהליך. במידה שאינכם בטוחים במשהו, תמיד אתם מוזמנים ליצור איתנו קשר ולהתייעץ.

מתלבטים? המומחים של UNIBO כאן לשירותכם