Как избегать проблем наподобие обновления CrowdStrike EDR: советы «Лаборатории Касперского»

Некорректное обновление решения CrowdStrike EDR от 19 июля затронуло устройства под управлением Windows по всему миру — все они в одночасье показали корпоративным пользователям «синий экран смерти» (BSOD). Сбой затронул, например, информационные системы аэропортов в США, Испании, Германии, Нидерландах и других странах.

Как сообщают из Представительства компании «Лаборатория Касперского» в Армении, по данным «Лаборатории Касперского», утром пятницы, 19 июля пользователи по всему миру сообщали о проблемах с Windows. CrowdStrike подтвердила, что первопричина в драйвере csagent.sys или C-00000291*.sys для CrowdStrike EDR.

Больше всего пострадали авиационные компании, аэропорты, различные медицинские центры, сетевые магазины, нью-йоркское метро, крупнейший банк Южной Африки и многие другие организации. Полный список пострадавших от сбоя можно изучить по ссылке.

В «Лаборатории Касперского» считают, что достаточно проблематично оценить, сколько времени займет полное восстановление тех или иных информационных систем в мире. Все осложняется тем, что пользователям необходимо перезагрузить свои компьютеры в безопасном режиме вручную. А в больших корпорациях это, как правило, невозможно сделать самостоятельно без помощи системного администратора.

Тем не менее, для избавления от проблемы с CrowdStrike – синего экрана смерти, вызванного обновлением их драйвера, необходимо:

• Загрузить компьютер в безопасном режиме.
• Перейти в C:\Windows\System32\drivers\CrowdStrike.
• Найти и удалить файл csagent.sys или C-00000291*.sys.
• Перезагрузить компьютер в нормальном режиме.

По мнению экспертов «Лаборатории Касперского», избежать подобной ситуации можно было достаточно просто. Во-первых, не выпускать обновления в пятницу. В случае ошибки остается слишком мало времени на исправление, системные администраторы всех пострадавших от сбоя CrowdStrike компаний почти наверняка работали все выходные над исправлением проблемы.

«Но самое главное – максимально ответственно относиться к качеству выпускаемых обновлений. Мы в «Лаборатории Касперского» еще в 2009 году запустили программу предотвращения массовых сбоев у наших клиентов и прошли аудит SOC 2, подтверждающий безопасность внутренних процессов. Вот уже 15 лет каждое обновление проходит многоуровневую проверку работоспособности на разных конфигурациях и разных версиях операционных систем. Это позволяет нам заранее выявить возможные проблемы и решить их «на берегу».

Необходимо соблюдать принцип гранулированного выпуска релизов. Обновления следует распространять постепенно, а не сразу на всех заказчиков. Такой подход дает возможность моментально среагировать и в случае необходимости остановить апдейт. Если у наших пользователей случается какая-то проблема, то мы ее обязательно регистрируем, ее решение становится приоритетом на всех уровнях компании»,- сообщает «Лаборатория Касперского», поясняя, что как и в случаях с инцидентами в кибербезопасности, помимо устранения видимого ущерба нужно найти первопричину, чтобы предотвратить проблемы такого рода в будущем.  Необходимо проверять работоспособность обновлений программных продуктов на тестовой инфраструктуре перед раскаткой на «боевую» инфраструктуру компании, внедрять изменения постепенно, отслеживая возможные сбои.

Также работа с инцидентами должна быть основана на комплексном подходе к построению защиты от доверенного поставщика с высокими внутренними требованиями к безопасности, качеству и доступности своих сервисов. Основой этой работы может стать линейка решений Kaspersky Symphony. Это поможет компаниям не просто держаться на плаву, но и повышать эффективность системы информационной безопасности. Это можно делать как постепенно, наращивая защиту шаг за шагом, так и одномоментно, используя высшую ступень защиты Kaspersky Symphony XDR. «Лаборатория Касперского» советует компаниям позаботиться о безопасности инфраструктуры вместе с ней, чтобы следующий глобальный сбой не коснулся их клиентов.