أدى انقطاع كبير في تكنولوجيا المعلومات إلى إصابة الشركات في جميع أنحاء العالم، مما أدى إلى توقف الطائرات وكذلك التأثير على البنوك وقطاع الرعاية الصحية.
وقال جورج كورتز، الرئيس التنفيذي لشركة Crowdstrike لأمن تكنولوجيا المعلومات، إنها أرجعت المشكلة إلى "عيب تم اكتشافه في تحديث محتوى واحد" لبرنامج الأمان الذي توفره لنظام التشغيل Microsoft Windows على أجهزة الكمبيوتر.
وقالت مايكروسوفت إن المشكلة ناجمة عن "تحديث من منصة برامج تابعة لجهة خارجية" وأن "السبب الأساسي" قد تم إصلاحه الآن.
تحدثتنا مع البروفيسور آلان وودوارد، خبير الأمن السيبراني في جامعة ساري، حول الأخطاء التي حدثت وكيف يمكن حل المشكلة.
هل يمكنك شرح ما حدث هنا؟
أعتقد أن هناك شيئين. أولاً، يبدو أن مايكروسوفت واجهت مشكلة مع منصة الحوسبة السحابية Azure. الأمر غير واضح بعض الشيء، ولكن كانت هناك درجة من التدهور في تلك الخدمة بدءًا من مساء يوم 18 يوليو. ومع ذلك، لم يفشل النظام تماما.
ولكن يبدو أن المشكلة الأكبر تكمن في التحديث الذي يبدو أنه تم إجراؤه في وقت متأخر من مساء يوم 18 يوليو/تموز لمنتج Crowdstrike's Falcon، وهو مدقق تهديدات الكمبيوتر. يعمل Falcon من خلال وجود بعض البرامج "الوكيلة" المضمنة بعمق في نظام التشغيل لكل جهاز كمبيوتر يعمل بنظام Windows، والذي يراقب هذا الكمبيوتر و"يتصل بFalcon" إذا كانت هناك مشكلة. ويتلقى أيضًا تحديثات حول ما يجب البحث عنه في حالة وجود تهديد. يتم استخدامه كثيرًا من قبل المؤسسات الكبيرة في جميع أنحاء العالم، والتي لديها عدد كبير من أجهزة الكمبيوتر الشخصية لحمايتها .
أنا متأكد من أن Crowdstrike يحقق بشكل عاجل فيما حدث. تم تصميم هذا البرنامج لحماية الأشخاص من هجمات برامج الفدية رانسمور Ransmware وما شابه. من أحدث المعلومات التي رأيتها، يبدو أن ملف نظام التحديث قد تم إصداره بطريقة ما بتنسيق غير صحيح.
يصل نظام التشغيل Windows إلى هذا التحديث ولا يعرف كيفية التعامل معه، لذلك يتعطل. ولهذا السبب أصبح الأشخاص يحصلون على "شاشة الموت الزرقاء" [شاشة كمبيوتر بها رسالة خطأ تشير إلى تعطل النظام].
والمشكلة الكبيرة هي أنه لا يمكنك حل هذه المشكلة عن بعد. يجب عليك الدخول إلى كل جهاز على حدة ووضعه في الوضع "الآمن" أو "الاسترداد" لعزل البرنامج. ومن هناك، يجب أن تكون قادرًا على إعادة تشغيل الجهاز وتشغيله مرة أخرى. ولكن إذا كنت شركة عالمية كبيرة تمتلك مساحة كبيرة من تكنولوجيا المعلومات الموزعة، فسيستغرق ذلك وقتًا طويلاً.
لماذا كان لهذا الانقطاع تأثيرات واسعة النطاق؟
لقد حققت Crowdstrike نجاحًا كبيرًا - حيث يتم استخدام برنامج الأمان الخاص بها من قبل مئات الآلاف من العملاء الرئيسيين حول العالم. لذا فإن شركات الطيران والمطارات والسكك الحديدية والمستشفيات وأسواق الأوراق المالية … جميعها في حالة انهيار.
بدأ الأمر في أستراليا عندما نهضوا للعمل يوم الجمعة. من الواضح أنه تم إرسال التحديث الليلة الماضية بتوقيت المملكة المتحدة، وقد انتشر للتو في جميع أنحاء العالم.
من خلال هجمات برامج الفدية المتعمدة، عادةً ما تقضي على هدف أو هدفين في المرة الواحدة. ولكن في هذه الحالة، حدث ذلك لآلاف المنظمات في وقت واحد. لم يكن لدينا أي شيء مثل هذا من قبل.
لم يتم بعد تحديد كيفية إصلاح Crowdstrike للبرنامج. وكما أوضحت، من الواضح كيف يمكن للشركات أن تعمل على حل هذه المشكلة. ولكن بالنسبة لبعض المؤسسات الكبيرة جدًا، قد يؤثر ذلك على بنيتها التحتية الحيوية وأعمالها لفترة طويلة - سيستغرق الأمر أيامًا للعمل فعليًا حول جميع هذه الأجهزة.
هل تستطيع شركات الأمن ضمان عدم حدوث ذلك مرة أخرى؟
ترتبط برامج الأمان ارتباطًا وثيقًا بنظام تشغيل الكمبيوتر، فهي مدفونة عميقًا هناك. يجب أن تكون هناك طريقة أنه إذا تم العثور على شيء ما تالفًا، فلا يقتصر الأمر على الاستمرار في تعطل النظام فحسب، بل قد يتعين القيام بذلك بالتعاون مع شركة Microsoft، التي تمتلك نظام التشغيل Windows.
يجب أن يكون هناك طريقة ما للتراجع عن ذلك، وهذا هو الحال. ومع ذلك، فإن معظم الأشخاص الذين يحاولون تسجيل الدخول إلى أجهزة الكمبيوتر الخاصة بهم لا يعرفون كيفية وضع أجهزة الكمبيوتر الخاصة بهم في الوضع الآمن والعودة إلى الحالة السابقة.
في الوقت الحالي، يبدو أنه ملف واحد تالف ينتج عنه مشكلة عالمية. تقوم أجهزة الكمبيوتر بتنزيل التحديثات طوال الوقت، فكيف تمنع Microsoft حدوث ذلك مع هذا التحديث، لا أعرف. هذا ليس واضحا على الفور. وسؤال المليون دولار هو: كيف تم إطلاق هذا الملف الفاسد في المقام الأول؟
كم من الوقت قبل أن يتم حل هذه المشكلة بالكامل؟
من المؤكد أن الأمر سيستغرق أيامًا، إن لم يكن أسابيع. إنها مثل تلك المستشفيات في لندن التي تعرضت لهجوم ببرامج الفدية. إنهم ما زالوا يعانون، وهناك ذيل طويل جدًا لهذه الأمور.
وفي هذه الحالة، لا يقتصر الأمر على ذيل طويل فحسب، بل يشمل مجموعة واسعة جدًا من المنظمات العالمية في مجالات النقل والصحة وفي كل مكان آخر. لا أعتقد أننا رأينا شيئًا كهذا من قبل.
ما هو CrowdStrike Falcon وماذا يفعل؟ هل جهاز الكمبيوتر الخاص بي آمن؟
يؤثر الانقطاع الهائل لتكنولوجيا المعلومات حاليًا على أنظمة الكمبيوتر في جميع أنحاء العالم. وفي أستراليا وأوتياروا نيوزيلندا، تشير التقارير إلى تأثر أجهزة الكمبيوتر في البنوك والمؤسسات الإعلامية والمستشفيات وخدمات النقل والخروج من المتاجر والمطارات وغيرها.
إن انقطاع تكنولوجيا المعلومات اليوم غير مسبوق من حيث حجمه وخطورته. المصطلح الفني لما حدث لأجهزة الكمبيوتر المتأثرة هو أنها تعرضت للاختراق. تشير هذه الكلمة إلى أجهزة الكمبيوتر التي أصبحت عديمة الفائدة بسبب هذا الانقطاع، لدرجة أنها - على الأقل في الوقت الحالي - قد تكون مجرد طوب.
وقد تم ربط الانقطاع واسع النطاق ببرنامج يسمى CrowdStrike Falcon. ما هو، ولماذا تسبب في مثل هذا الاضطراب على نطاق واسع؟
ما هو CrowdStrike Falcon؟
CrowdStrike هي شركة أمريكية للأمن السيبراني تتمتع بحصة عالمية كبيرة في سوق التكنولوجيا. يعد Falcon أحد منتجاتها البرمجية التي تقوم المؤسسات بتثبيتها على أجهزة الكمبيوتر الخاصة بها لحمايتها من الهجمات السيبرانية والبرامج الضارة.
Falcon هو ما يُعرف ببرنامج (EDR). وتتمثل مهمتها في مراقبة ما يحدث على أجهزة الكمبيوتر المثبت عليها، والبحث عن علامات النشاط الشائن (مثل البرامج الضارة). عندما يكتشف شيئًا مريبًا، فإنه يساعد على تأمين التهديد.
وهذا يعني أن فالكون هو ما نسميه البرامج المميزة. للكشف عن علامات الهجوم، يتعين على Falcon مراقبة أجهزة الكمبيوتر بالكثير من التفاصيل، بحيث يكون لديه إمكانية الوصول إلى الكثير من الأنظمة الداخلية. يتضمن ذلك ما ترسله أجهزة الكمبيوتر عبر الإنترنت بالإضافة إلى البرامج قيد التشغيل والملفات التي يتم فتحها وغير ذلك الكثير.
وبهذا المعنى، فإن Falcon يشبه إلى حد ما برامج مكافحة الفيروسات التقليدية، ولكنه أكثر فعالية ونشاطًا.
ولكن أكثر من ذلك، يجب أن تكون قادرة على تأمين التهديدات. على سبيل المثال، إذا اكتشف أن جهاز الكمبيوتر الذي يراقبه يتواصل مع متسلل محتمل، فيجب أن يكون Falcon قادرًا على إيقاف هذا الاتصال. وهذا يعني أن Falcon متكامل بشكل وثيق مع البرنامج الأساسي لأجهزة الكمبيوتر التي يعمل عليها – Microsoft Windows.
لماذا تسبب فالكون في هذه المشكلة؟
هذا الامتياز والتكامل الوثيق يجعل Falcon قويًا. ولكن هذا يعني أيضًا أنه عندما يتعطل نظام Falcon، فإنه يمكن أن يسبب مشاكل خطيرة. إن انقطاع تكنولوجيا المعلومات اليوم هو السيناريو الأسوأ.
ما نعرفه حاليًا هو أن تحديث Falcon تسبب في عطله بطريقة تسببت في تعطل أجهزة الكمبيوتر التي تعمل بنظام Windows 10 ثم الفشل في إعادة التشغيل، مما أدى إلى ظهور "شاشة الموت الزرقاء" (BSOD) المخيفة.
هذا هو المصطلح اللطيف المستخدم للإشارة إلى الشاشة التي يتم عرضها عندما تتعطل أجهزة الكمبيوتر التي تعمل بنظام Windows وتحتاج إلى إعادة التشغيل - فقط، في هذه الحالة، تعني مشكلة Falcon أن أجهزة الكمبيوتر لا يمكن إعادة تشغيلها دون مواجهة شاشة الموت الزرقاء مرة أخرى.
لماذا يستخدم فالكون على نطاق واسع؟
CrowdStrike هي الشركة الرائدة في السوق في مجال حلول EDR. وهذا يعني أن منتجاتها – مثل Falcon – شائعة ومن المحتمل أن تكون الاختيار الأمثل للمؤسسات المدركة لأمنها السيبراني.
يعد اكتشاف نقطة النهاية والاستجابة لها (EDR) حلاً أمنيًا يراقب باستمرار الأجهزة التي يستخدمها المستخدمون النهائيون (مثل أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة والأجهزة المحمولة). والغرض منه هو اكتشاف التهديدات السيبرانية والاستجابة لها مثل برامج الفدية والبرامج الضارة. وإليك كيف يعمل:
المراقبة المستمرة: يقوم EDR بتثبيت وكيل برمجي على كل جهاز، مما يضمن أن النظام البيئي الرقمي بأكمله مرئي لفرق الأمان. تسمى هذه الأجهزة الأجهزة المُدارة. تحليل السلوك: يقوم EDR بتسجيل السلوكيات وتخزينها على مستوى النظام. ويستخدم تقنيات تحليل البيانات للكشف عن الأنشطة المشبوهة. إذا ظهر شيء ما، فإنه ينبه فرق الأمن. اكتشاف التهديدات: يوفر EDR إمكانات متقدمة للكشف عن التهديدات. فهو يبحث عن الأنشطة الضارة، ويتحقق من السلوك المشبوه، ويساعد على احتواء التهديدات قبل تفاقمها. بعبارات بسيطة، يراقب EDR أجهزتك، ويكتشف أي شيء مريب، ويساعد في حمايتك من الأشرار السيبرانية!
وكما أظهر انقطاع اليوم، فإن ذلك يشمل المستشفيات وشركات الإعلام والجامعات ومحلات السوبر ماركت الكبرى وغيرها الكثير. لم يتم بعد تحديد الحجم الكامل للتأثير، لكنه بالتأكيد عالمي.
لماذا لا تتأثر أجهزة الكمبيوتر المنزلية؟
على الرغم من أن منتجات CrowdStrike منتشرة على نطاق واسع في المؤسسات الكبرى التي تحتاج إلى حماية نفسها من الهجمات السيبرانية، إلا أنها أقل شيوعًا في الاستخدام على أجهزة الكمبيوتر المنزلية.
وذلك لأن منتجات CrowdStrike مصممة خصيصًا للمؤسسات الكبيرة حيث تساعدها أدوات CrowdStrike في مراقبة شبكاتها بحثًا عن علامات الهجوم، وتزويدها بالمعلومات التي تحتاجها للرد على عمليات الاقتحام في الوقت المناسب.
بالنسبة للمستخدمين المنزليين، تعد برامج مكافحة الفيروسات أو منتجات الأمان المدمجة التي تقدمها شركات مثل Norton وMcAfee أكثر شيوعًا.
لماذا تسبب فالكون في هذه المشكلة؟
هذا الامتياز والتكامل الوثيق يجعل Falcon قويًا. ولكن هذا يعني أيضًا أنه عندما يتعطل نظام Falcon، فإنه يمكن أن يسبب مشاكل خطيرة. إن انقطاع اليوم هو السيناريو الأسوأ.
ما نعرفه حاليًا هو أن تحديث Falcon تسبب في عطله بطريقة تسببت في تعطل أجهزة الكمبيوتر التي تعمل بنظام Windows 10 ثم الفشل في إعادة التشغيل، مما أدى إلى ظهور "شاشة الموت الزرقاء" (BSOD) المخيفة.
هذا هو المصطلح اللطيف المستخدم للإشارة إلى الشاشة التي يتم عرضها عندما تتعطل أجهزة الكمبيوتر التي تعمل بنظام Windows وتحتاج إلى إعادة التشغيل - فقط، في هذه الحالة، تعني مشكلة Falcon أن أجهزة الكمبيوتر لا يمكن إعادة تشغيلها دون مواجهة شاشة الموت الزرقاء مرة أخرى.
لماذا يستخدم فالكون على نطاق واسع؟
CrowdStrike هي الشركة الرائدة في السوق في مجال حلول EDR. وهذا يعني أن منتجاتها – مثل Falcon – شائعة ومن المحتمل أن تكون الاختيار الأمثل للمؤسسات المدركة لأمنها السيبراني.
وكما أظهر اليوم، فإن ذلك يشمل المستشفيات وشركات الإعلام والجامعات ومحلات السوبر ماركت الكبرى وغيرها الكثير. لم يتم بعد تحديد الحجم الكامل للتأثير، لكنه بالتأكيد عالمي.
لماذا لا تتأثر أجهزة الكمبيوتر المنزلية؟
على الرغم من أن منتجات CrowdStrike منتشرة على نطاق واسع في المؤسسات الكبرى التي تحتاج إلى حماية نفسها من الهجمات السيبرانية، إلا أنها أقل شيوعًا في الاستخدام على أجهزة الكمبيوتر المنزلية.
وذلك لأن منتجات CrowdStrike مصممة خصيصًا للمؤسسات الكبيرة حيث تساعدها أدوات CrowdStrike في مراقبة شبكاتها بحثًا عن علامات الهجوم، وتزويدها بالمعلومات التي تحتاجها للرد على عمليات الاقتحام في الوقت المناسب.
بالنسبة للمستخدمين المنزليين، تعد برامج مكافحة الفيروسات أو منتجات الأمان المدمجة التي تقدمها شركات مثل Norton وMcAfee أكثر شيوعًا.
كم من الوقت سيستغرق إصلاح هذا؟
في هذه المرحلة، قدمت CrowdStrike تعليمات يدوية حول كيفية قيام الأشخاص بإصلاح المشكلة على أجهزة الكمبيوتر الفردية المتضررة.
ومع ذلك، في وقت كتابة هذا التقرير، لا يبدو أن هناك حلًا تلقائيًا للمشكلة. قد تتمكن فرق تكنولوجيا المعلومات في بعض المؤسسات من حل هذه المشكلة بسرعة بمجرد مسح أجهزة الكمبيوتر المتأثرة واستعادتها من النسخ الاحتياطية أو ما شابه.
قد تتمكن بعض فرق تكنولوجيا المعلومات أيضًا من "الرجوع" (العودة إلى إصدار سابق) لإصدار Falcon المتأثر على أجهزة الكمبيوتر الخاصة بمؤسساتهم. ومن الممكن أيضًا أن تضطر بعض فرق تكنولوجيا المعلومات إلى إصلاح المشكلة يدويًا على أجهزة الكمبيوتر الخاصة بمؤسساتهم، واحدًا تلو الآخر.
يجب أن نتوقع أنه في العديد من المنظمات قد يستغرق الأمر بعض الوقت قبل أن يتم حل المشكلة بالكامل.
الأمر المثير للسخرية في هذا الحادث هو أن المتخصصين في مجال الأمن ظلوا يشجعون المؤسسات على نشر تكنولوجيا الأمان المتقدمة مثل EDR لسنوات. ومع ذلك، فقد أدت هذه التكنولوجيا نفسها الآن إلى انقطاع كبير لم نشهد مثله منذ سنوات.
بالنسبة لشركات مثل CrowdStrike التي تبيع برامج أمان ذات امتيازات عالية، يعد هذا تذكيرًا مناسبًا لتوخي الحذر الشديد عند نشر التحديثات التلقائية لمنتجاتها.
الرسائل والمقالات و الآراء المنشورة في المنتدى بأسماء أصحابها أو بأسماء مستعارة لا تمثل بالضرورة الرأي الرسمي لصاحب الموقع أو سودانيز اون لاين بل تمثل وجهة نظر كاتبها
لا يمكنك نقل أو اقتباس اى مواد أعلامية من هذا الموقع الا بعد الحصول على اذن من الادارة
Mohamed Omer
فيس بوك
تويتر
انستقرام
يوتيوب
بنتيريست