A CrowdStrike divulgou nesta quarta-feira (24) seu primeiro Reporte Preliminar de Pós-Incidente (PIR, em inglês) relativo ao apagão cibernético ocorrido no último 19 de julho. Através da nota, a empresa explica o problema processual que viabilizou a liberação de uma atualização do Falcon capaz de paralisar por completo os sistemas Azure da Microsoft.
De acordo com a CrowdStrike, devido a um defeito de fábrica, esse update causou problemas aos hosts Azure que utilizam a ferramenta. Como resultado, diversos serviços foram paralisados. Em atualização recente de ambas as organizações, ao menos 8,5 milhões de dispositivos foram paralisados pela pane geral, com diversos deles se recuperando lentamente.
A partir desse novo reporte preliminar, a vendor de Cibersegurança busca explicar como essa falha passou pelos critérios de controle internos. De acordo com a nota, a CrowdStrike utiliza dois meios para entregar atualizações de configuração aos usuários do Falcon. Um deles é o “Sensor Content”, enviado diretamente aos clientes, e sobre o qual a aplicação é de total controle deles, incluindo o momento da atualização.
O outro processo, chamado de “Rapid Response Content”, visa responder às mudanças da superfície de ameaças em velocidade operacional. Por isso, via checagens automatizadas de segurança, essa atualização pode ser entregue e aplicada diretamente ao serviço Falcon. Foi através desse processo que o update falho passou sem ser detectado.
“Em 19 de julho, duas instâncias adicionais do modelo IPC foram implementadas. Devido a um bug no validador de conteúdo, uma das duas instâncias de modelo foi aprovada na validação, apesar de conter dados de conteúdo problemáticos. Com base nos testes realizados antes da implementação inicial, e na confiança nas verificações realizadas no validador de conteúdo e nas implementações anteriores bem-sucedidas, essas instâncias foram implementadas na produção”, explica a nota.
A companhia ainda informou que está tomando diversas medidas para evitar que esse problema no controle de qualidade das atualizações volte a se repetir. Entre elas está alterar os meios de testagem do Rapid Response Content, incluindo checagens de validação adicionais e estabelecer uma estratégia de aplicação fracionada dessas atualizações, para evitar nova paralisação geral.
Além disso, a CrowdStrike se compromete a oferecer maior controle por parte dos usuários às atualizações do Rapid Response Content, permitindo seleção granular sobre onde e quando essas atualizações serão aplicadas. Novos ajustes feitos através desse processo serão detalhados por meio de releases enviados aos clientes.
“Além desta revisão preliminar pós-incidente, a CrowdStrike se compromete a divulgar publicamente a análise completa da causa raiz assim que a investigação for concluída. O defeito na atualização de conteúdo foi revertido na sexta-feira. Os sistemas que ficaram on-line após esse período, ou que não se conectaram durante a janela, não foram afetados.”, encerra o comunicado.
Prestação de Contas
Diante dos enormes impactos causados pelo defeito na solução da CrowdStrike, membros do Comitê de Segurança Nacional da Câmara dos Representantes dos Estados Unidos enviaram uma carta ao CEO da vendor, George Kurtz, solicitando-o a prestar esclarecimentos sobre o caso, em sessão que será aberta ainda nessa quarta-feira. Por ser um convite, todavia, não há obrigação do executivo comparecer ao encontro.
O jornal The Washington Post, que reportou a carta, ainda informa que outras autoridades devem se debruçar sobre o ocorrido nos próximos dias, aumentando a pressão sobre a responsabilidade da CrowdStrike nesse apagão cibernético. São citados os Comitês de Supervisão Governamental, de Energia e Comércio e o próprio plenário da Câmara. Em nota, a corporação disse estar ativamente em contato com os comitês relevantes do Congresso.
*Com informações da Agência Reuters e do The Washington Post
