Компания CrowdStrike вносит изменения в процесс обновлений своих инструментов безопасности после сбоя в июле, который вывел из строя тысячи систем по всему миру. Старший вице-президент компании Адам Майерс рассказал на слушаниях в Конгрессе США, что теперь клиенты смогут сами выбирать, когда получать обновления: сразу или позже. Так они смогут избежать возможных неполадок, связанных с установкой новых версий.
Майерс также сообщил, что внутри CrowdStrike пересматривают процесс проверки обновлений. Ранее компания признала, что инструменты проверки за последние 10 лет не смогли выявить ошибку в обновлении, которое повредило более 8,5 миллионов устройств на Windows. Сбой затронул критически важные системы, такие как авиакомпании, больницы и банки, которые используют продукты CrowdStrike.
По словам Майерса, проблемное обновление не было программным кодом в привычном понимании, а лишь конфигурационным файлом с информацией об угрозах. Подобные обновления могут выходить до 10-12 раз в день и раньше они не проходили проверку так же строго, как код. Но после инцидента компания приняла решение считать их полноценным кодом и применять к ним более серьезные проверки. Майерс отметил, что такой подход пока не стал отраслевым стандартом.
Проверка программного кода в CrowdStrike проходит несколько этапов. Сначала его тестируют внутри компании (“dogfooding”), затем проверяют первые клиенты, и только после этого обновление поступает к остальным пользователям. По словам Майерса, новые меры помогут предотвратить подобные сбои в будущем. Однако на слушаниях не объяснили, почему изначально обновления не проверялись как код, и как именно будет изменен процесс проверки. На эти вопросы компания не ответила и по запросам СМИ.
Майерс также прокомментировал одно из главных замечаний после инцидента – глубокий доступ CrowdStrike к ядру операционной системы Windows. Майерс объяснил, что ядро – это центральная часть системы, которая взаимодействует с оборудованием, и многие производители защитных решений, в том числе CrowdStrike, используют ядро Windows для работы своих продуктов.
Ранее CrowdStrike заявила,что такой доступ к ядру необходим для обеспечения максимальной защиты и предотвращения попыток взлома. Майерс добавил, что киберпреступники сами стремятся получить доступ к ядру, чтобы отключить защитные системы, и именно поэтому продукты безопасности должны действовать на этом уровне.
На слушаниях CrowdStrike также не ответила на вопросы о том, будет ли инцидент расследоваться Департаментом внутренней безопасности США и планирует ли компания компенсировать финансовые потери клиентов. Инцидент затронул более 20 000 клиентов, включая правительственные агентства США.
CrowdStrike уже сталкивается с угрозами судебных исков от крупных клиентов, таких как Delta Airlines, которая оценивает свои убытки в $500 млн из-за отмены рейсов. Экономисты подсчитали, что общий ущерб для компаний Fortune 500 из-за сбоя обновлений CrowdStrike составил более $5,4 млрд. Кроме того, инвесторы тоже выразили недовольство, что привело к иску от пенсионного фонда Plymouth County Retirement Association после падения акций CrowdStrike.