Рано утром 19 июля инженеры Microsoft поняли, что что-то не так: миллионы компьютеров с Windows столкнулись с ужасным «синим экраном смерти», приводящим к сбою серверов и ПК по всему миру. Microsoft быстро классифицировала инцидент как «нулевой уровень серьезности» (sev0), самый срочный уровень для проблем, влияющих на продукты или услуги компании.

Проблема возникла из-за обновления CrowdStrike, выпущенного в 1:09 19 июля, в результате которого было отключено 8,5 миллионов устройств Windows по всему миру. Хотя сбой не произошел напрямую по вине Microsoft, компании пришлось иметь дело с последствиями, поскольку он затронул организации с критической инфраструктурой, как указано в статье Тома Уоррена для The Verge.

У Microsoft есть группа мониторинга в режиме реального времени, которая быстро выявила уязвимость. Однако линии поддержки также были перегружены количеством пострадавших машин. Компания начала работу над инструментом восстановления, мобилизовав сотни инженеров для восстановления поврежденных компьютеров.

Первоначально CrowdStrike опубликовала ручное решение, которое включало перезагрузку компьютеров в безопасном режиме и удаление проблемного файла. Чтобы упростить этот процесс, команда Microsoft Intune разработала инструмент восстановления, выпущенный в субботу, улучшения которого продолжались на выходных.

Последняя версия, 3.1, была выпущена в понедельник и поддерживает различные типы систем Windows, серверов и операционных систем, размещенных на Hyper-V.

После сбоя CrowdStrike «Синий экран смерти» Windows поразил 8,5 миллионов устройств по всему миру. (Изображение: Леа Рэй / Shutterstock.com)

Мобилизация и постоянная поддержка

Помимо разработки инструмента восстановления, Microsoft мобилизовала команды для реагирования на запросы коммерческих клиентов, общения с прессой и продолжения усилий по восстановлению. Вице-президент Microsoft по корпоративной безопасности и безопасности ОС Дэвид Уэстон подчеркнул в своем блоге, что инженеры работали круглосуточно, чтобы обеспечить постоянные обновления и поддержку.

Читать далее:

Размышления и уроки из инцидента CrowdStrike

Спустя почти неделю после инцидента Microsoft все еще пыталась справиться с его последствиями. Внутри компании было разочарование по поводу того, как обновлению CrowdStrike удалось вывести из строя миллионы компьютеров с Windows. Многие сотрудники были недовольны первоначальными заголовками, возлагавшими вину на Microsoft.

Несмотря на проблемы, Microsoft подчеркнула важность сотрудничества в индустрии кибербезопасности, а не культуры вины. Компания также планирует проанализировать, как она обеспечивает глубокую интеграцию поставщиков средств безопасности в Windows.

Мобильный телефон с логотипом Crowdstrike на экране и компьютер с открытой графикой компании на заднем плане.
Обновление системного драйвера Crowdstrike вызвало глобальное киберотключение (Изображение: Т. Шнайдер / Shutterstock.com)

Влияние и будущие изменения

CrowdStrike, известная своей критикой усилий Microsoft по обеспечению безопасности, придется ответить за этот провал. После инцидента компания удалила маркетинговую фразу, высмеивающую безопасность Microsoft. Эта ситуация подчеркивает необходимость использования лучших практик обновления и проверки со стороны поставщиков систем безопасности.

В заключение Microsoft подчеркнула, что восстановление и обучение наиболее эффективны при сотрудничестве и совместной работе, и ожидается, что будущие обновления в индустрии кибербезопасности будут отражать этот совместный подход.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *