venerdì 19 luglio 2024

Il Bug Di Crowdstrike: Cosa è Successo? Falcon ed EDR

Tra il 18 e 19 luglio 2024 molte aziende sui loro device hanno visto la classica schermata blue "Blue Screen of Death": tantissimi PC in giro per il mondo su ambiente Windows hanno smesso di funzionare. La colpa di questo blackout non è stata di Microsoft ma di un’azienda chiamata Crowdstrike, che si occupa di produrre una piattaforma EDR (Endpoint Detection and Response) chiamata Falcon, che grazie all’intelligenza artificiale riesce a rilevare anomalie e attacchi, rispondendo autonomamente. In sostanza si tratta di una specie di antivirus evoluto, che però sfrutta l’intelligenza artificiale per analizzare miliardi di dati, identificare le anomalie sull’endpoint (devices), agendo di conseguenza.  


CROWDSTRIKE
CrowdStrike è una società di sicurezza informatica fondata nel 2011 basata su cloud e le sue capacità avanzate di rilevamento e risposta a minacce informatiche. Questa società offre la suite Falcon che è un pacchetto di sicurezza endpoint includendo vari moduli di protezione.
EDR è una categoria di strumenti per il rilevamento e la risposta alle minacce sugli endpoint.

Le principali funzioni sono:
-CrowdStrike Falcon gestibile mediante cloud fornisce protezione per gli endpoint, analisi delle minacce, risposta agli incidenti e threat hunting.

-Falcon Prevent è un modulo di protezione antivirus che utilizza tecniche avanzate di machine learning e intelligenza artificiale per rilevare e bloccare malware.

-Falcon Insight è un modulo di Endpoint Detection and Response (EDR) che offre visibilità completa sugli endpoint, consentendo il rilevamento e la risposta alle minacce in tempo reale. 

-Falcon OverWatch è un servizio di threat hunting che monitora costantemente l'ambiente alla ricerca di attività sospette. 

-Falcon X è un modulo di threat intelligence che fornisce analisi avanzate delle minacce e automazione della risposta agli incidenti.

-Falcon Device Control per prevenire la perdita di dati.

-Falcon Firewall Management per la gestione centralizzata del firewall degli endpoint.

Falcon Forensics, ovvero strumenti avanzati di analisi forense per investigare incidenti di sicurezza.


EDR (ENDPOINT DETECTION AND RESPONSE)
EDR sono progettati per monitorare continuamente gli endpoint (come computer e dispositivi mobili) al fine di rilevare e rispondere a minacce informatiche. Le principali caratteristiche e funzionalità di una soluzione EDR includono:

-Monitoraggio continuo: raccoglie dati in tempo reale da tutti gli endpoint per avere una visione completa delle attività sospette.

-Rilevamento delle minacce: utilizza tecniche avanzate di analisi comportamentale, machine learning e intelligenza artificiale per identificare attività anomale.

-Risposta agli incidenti: fornisce strumenti per rispondere rapidamente agli incidenti di sicurezza, come l'isolamento di dispositivi compromessi, l'eliminazione di malware e la correzione di vulnerabilità.

-Analisi forense: consente di eseguire analisi approfondite per comprendere la natura e l'impatto delle minacce.

-Threat hunting: permette di cercare attivamente minacce all'interno dell'infrastruttura IT.



BUG/ERRORE IN FALCON
Il sensore di Falcon, forse a causa di un bug o aggiornamento software, ha impedito il corretto caricamento del sistema operativo, riconoscendolo come una minaccia.
Questo ha portato ai BSOD che per ora non possono far altro che sperare nella risoluzione del problema da parte di Crowdstrike. Risultano completamente bloccati servizi quali mass media, aeroporti, stazioni, supermercati e banche. American Airlines, Delta Airlines e United Airlines hanno deciso di bloccare tutti i voli a livello globale fino alla risoluzione del problema. Anche alcune stazioni ferroviarie potrebbero fare lo stesso, inoltre alcuni servizi di emergenza sanitaria pare stiano avendo problemi. L’evento come detto non è stato causato da un virus o da un hack ma da un antivirus che ha mostrato la fragilità dei sistemi informatici globali. CrowdStrike ha fornito una soluzione manuale temporanea che consiste nel cancellare un file chiamato C-00000291*sys*.
L’interconnessione di tutte le infrastrutture tecnologiche e dei sistemi di comunicazione espone tutta la nostra società a un Cigno Nero cibernetico. È quello che nel periodo del Covid il World Economic Forum chiamò rischio di “Cyberpandemia”. O quello che chi visse il passaggio dagli anni 90 al 2000, venne chiamato "Millennium Bug". Per Cyberpandemia s’intende un singolo evento da cui potrebbero scaturire una serie di reazioni a catena in tutto il mondo. Persone, aziende e Stati interi potrebbero essere vittime di questa catastrofe ad effetto domino. Questi effetti si sarebbero potuti verificare allo scoccare del mezzanotte degli anni 2000 (i device informatici con la data "00" sarebbero tornati all'anno 1900 e non al 2000) ma in realtà i danni furono contenuti. Del resto questo tipo di effetti non sono mai da sottovalutare: basti pensare a malfunzionamenti negli aeroporti, ai sistemi di sicurezza delle banche, a quelli dei passaggi a livello dei treni ma anche negli ospedali. Un crash globale prolungato di questo tipo causerebbe enormi danni economici a tutti i soggetti coinvolti. Anche i mercati finanziari ne risentirebbero. Tutto questo mette in evidenza i rischi di sistemi interconnessi e centralizzati (funzionanti tipo server).

Nessun commento:

Posta un commento