CrowdStrike incident
Een van de grootste Amerikaanse cyberbeveiligingssoftwarebedrijven, CrowdStrike, heeft op 19 juli 2024 de toegang tot ongeveer 8,5 miljoen Windows 10 en 11 werkstations en servers uitgeschakeld. Deze gebeurtenis markeert de grootste ineenstorting van informatiesystemen ooit.
Wat is er gebeurd?
Op de kritieke dag bracht CrowdStrike een bijgewerkte versie van zijn software uit, die het beruchte Blue Screen of Death (BSOD) veroorzaakte op alle beveiligde Windows-machines. Na elke herstart bevonden gebruikers zich in dezelfde situatie, waardoor het leek alsof de toegang tot hun apparaten permanent was uitgeschakeld.
Wie werd er getroffen?
Veel grote bedrijven en openbare diensten werden getroffen door het incident, waaronder luchtvaartmaatschappijen, overheidsinstellingen, ziekenhuizen, banken en spoorwegen. Ticketsystemen van luchtvaartmaatschappijen vielen uit, waardoor vluchten werden geannuleerd. In de gezondheidszorg waren er storingen, waardoor sommige patiënten geen zorg kregen. Miljoenen kantoormedewerkers kregen geen toegang tot hun computers. Aanvankelijk dachten velen dat het een cyberaanval was. Systeembeheerders annuleerden hun vakanties en maakten overuren om de problemen op elk systeem handmatig op te lossen.
Was Microsoft in gebreke gebleven?
Hoewel velen aanvankelijk Microsoft de schuld gaven, werd al snel onthuld dat de techgigant niet verantwoordelijk was voor dit incident. De gebeurtenis veroorzaakte enorme financiële verliezen en beveiligingslekken, waarvan de volledige omvang waarschijnlijk in de toekomst zal worden beoordeeld.
Lessen en preventie
Het incident onderstreept het belang van robuuste cyberbeveiligingsmaatregelen en naleving van normen zoals ISO 27001:2022 om schade te beperken. De juiste controles hadden de impact van zo’n wijdverspreide systeemstoring tot een minimum kunnen beperken.
Deze catastrofe herinnert ons aan de kwetsbaarheid van moderne, onderling verbonden systemen en de noodzaak van effectief risicomanagement in IT-operaties.
Wat is CrowdStrike?
CrowdStrike is een Amerikaans cyberbeveiligingsbedrijf, opgericht in 2011, gespecialiseerd in de ontwikkeling van software en diensten voor bescherming tegen cyberaanvallen, malware en andere cyberbedreigingen. Het belangrijkste product, Falcon Platform, maakt gebruik van geavanceerde technieken zoals kunstmatige intelligentie (AI) en machine learning (ML) om bedreigingen in realtime te detecteren en te voorkomen. De oplossingen van CrowdStrike worden wereldwijd op grote schaal gebruikt door grote bedrijven en overheidsinstellingen.
Hoe werkt het Falcon Platform?
De kerncomponent van het Falcon Platform is de Falcon Sensor, een software agent geïnstalleerd op werkstations en servers. Het monitort continu systeemactiviteit om potentiële bedreigingen te detecteren. Met behulp van AI en ML analyseert het systeemgedrag om malware, kwaadaardige acties en beveiligingsincidenten in real-time te identificeren en zo proactieve verdediging te bieden tegen opkomende bedreigingen.
Wat ging er mis?
Op 19 juli 2024 bracht CrowdStrike een update uit voor de Falcon Sensor die een kritieke softwarefout bevatte. Het probleem kwam voort uit een defect stuurprogramma dat draaide in RING 0, ook bekend als de kernelmodus in Windows. Dit toegangsniveau staat het stuurprogramma toe om direct te communiceren met de kern van het besturingssysteem. Door de fout kregen Windowssystemen te maken met het Blue Screen of Death (BSOD), wat leidde tot herhaaldelijk vastlopen en opnieuw opstarten. Het probleem was systemisch omdat Windows de fout niet kon oplossen in de kernelmodus, waardoor er steeds opnieuw moest worden opgestart.
Hoe werd het probleem opgelost?
De oplossing bestond uit het gebruik van de Veilige Modus, een Windows-functie die niet-essentiële stuurprogramma’s uitschakelt tijdens het opstarten. Door in de Veilige Modus op te starten, konden beheerders het defecte stuurprogrammabestand uit een specifieke map verwijderen, waardoor het systeem weer normaal kon opstarten.
Invloed op andere besturingssystemen
Interessant genoeg had het probleem geen invloed op Linux of MacOS, aangezien deze de Falcon update zonder onderbreking afhandelden. Dit kan voor sommige organisaties aanleiding zijn om te overwegen hun besturingssystemen te diversifiëren om de weerbaarheid tegen dergelijke incidenten te vergroten.
Mogelijke gevolgen voor de informatiebeveiliging
Er dook een kritiek scenario op met betrekking tot systemen die worden beschermd door BitLocker, een hulpmiddel dat gegevens op Windows-machines versleutelt. Als BitLocker was ingeschakeld en de versleutelingscode was opgeslagen op een getroffen machine, hadden systeembeheerders de code nodig om toegang te krijgen tot gegevens. In dergelijke gevallen hadden degenen die offline back-ups van de versleutelingscode hadden geluk, terwijl anderen permanent gegevensverlies riskeerden.
Implicaties voor de toekomst
Dit incident heeft geleid tot bezorgdheid over het vertrouwen in grote cyberbeveiligingsbedrijven. Het benadrukt de noodzaak van robuuste noodplannen, zoals beschreven in standaarden als ISO 27001, die de nadruk leggen op risicobeheer, reactie op incidenten en gegevensbeschermingspraktijken.
Het ongeluk van CrowdStrike herinnert ons aan de kwetsbaarheid van zelfs de meest geavanceerde beveiligingssystemen en het belang van gediversifieerde verdedigingsmechanismen en strenge kwaliteitsborging bij de ontwikkeling van cyberbeveiligingssoftware.