Конец прошлой недели запомнился наикрупнейшим сбоем в работе ПК под управлением Windows, на которых было установлено созданное для защиты от кибератак ПО компании CrowdStrike. По итогам проведённого расследования CrowdStrike заявила, что сбой произошёл из-за ошибки в тестовом ПО, которое не позволило подабающим образом проверить обновление, распространённое на миллионы ПК в п-цу.
Вкупе с этим CrowdStrike пообещала в дальнейшем больше основательно испытывать обновления для собственного программного обеспечения, и еще ввести функцию поэтапного развёртывания пакетов, чтоб избежать повторения инцидента, происшедшего некоторое количество дней вспять. Напомним, дополнение Falcon от CrowdStrike употребляется компаниями по всему миру для защиты от кибератак и установлено на миллионах ПК. В п-цу компания начала распространять обновление для Falcon, которое должно было собрать «данные телеметрии о потенциальных новых способах борьбы с киберугрозами». Такие обновления выходят с определённой регулярностью, но в этом случае 1-но из их стало первопричиной масштабного сбоя на ПК с Windows.
Обычно CrowdStrike выпускает обновления 2-ух типов. Пакеты Sensor Content обновляют контент для Falcon на пользовательском устройстве и работают на уровне ядра Windows. Пакеты Rapid Response Content обновляют сигнатуры детектора Falcon, который употребляется для выявления вредного ПО. В этом случае маленький файл Rapid Response Content размером 40 Кбайт стал первопричиной сбоя на 8,5 миллиона компов.
Обновления детектора Falcon обычно не развёртываются из облака и включают модели искусственного ума и машинного обучения, дозволяющие CrowdStrike сделать лучше свои способности в плане обнаружения вредного ПО в длительной перспективе. Некие из этих способностей содержат в себе так именуемые «Типы шаблонов», которые представляют собой программный шифр для нового обнаружения и настраивается зависимо от того, как доставляется пакет на устройства юзеров.
В распоряжении CrowdStrike есть пасмурная платформа, которая употребляется для управления продуктами компании и проверки содержимого пакетов обновлений до их массового распространения. На предыдущей неделе компания выпустила сейчас 2-ва обновления Rapid Response Content. в данный момент же было установлено, что ошибка в инструменте проверки контента привела к тому, что оба пакета прошли проверку, но 1-но из их являлось проблемным и в конечном счёте привело к массовому сбою.
Невзирая на то, что CrowdStrike проводит автоматическое и ручное испытание обновлений перед массовым распространением, похоже, что в данном случает проверка была проведена недостаточно основательно. Предшествующее развёртывание «Типов шаблонов» обеспечило снутри компании «доверие к проверкам, выполняемым при помощи средств проверки контента», потому CrowdStrike посчитала, что свежее развёртывание подобного обновления не вызовет осложнений. Это привело к тому, что датчик Falcon получил проблемный контент совместно с обновлением Rapid Response Content, загрузил его шифр в собственный переводчик контента, после этого произошла ошибка, связанная с попыткой получения доступа к областям памяти, находящимся за пределами допустимого целенаправленного места. Эта ошибка не могла быть обработана Falcon, что и привело к сбою в Windows.
Для недопущения схожих инцидентов в дальнейшем CrowdStrike хочет сделать лучше процесс тестирования контента обновлений Rapid Response Content, в том числе за счёт проверки на локальных системах разработчика, поэтапного развёртывания пакетов и интеграции способности отката к предшествующему состоянию системы. В дополнение к этому разработчики развёрнут в собственных системах дополнительные инструменты для стресс-тестирования обновлений и выявления ошибок. Будет проводиться проверка стабильности пакетов обновлений и интерфейса контента Rapid Response Content. Ещё CrowdStrike обновит пасмурный инструмент проверки обновлений, и еще сделает лучше механизм обработки ошибок в интерпретаторе контента, который является частью детектора Falcon.
