Khủng hoảng của CrowdStrike mở ra cơ hội tấn công cho các đối thủ

 (theinformation.com)
5 điểm bởi xguru 2024-07-20 | 5 bình luận | Chia sẻ qua WhatsApp
  • CrowdStrike là công ty từ lâu đã thống trị thị trường phát hiện điểm cuối, phần mềm dựa trên đám mây nhằm bảo vệ mạng lưới khách hàng khỏi hacker
    • Falcon, sản phẩm gây ra sự cố, thu phí thuê bao $185 mỗi năm cho mỗi thiết bị
    • Vốn hóa thị trường $74B (100 nghìn tỷ won). Cổ phiếu giảm 11% vì sự cố này
  • Do sự việc này, một số công ty trong Fortune 100 đang cân nhắc chuyển sang nhà cung cấp khác (như Trellix)
  • Elon Musk của Tesla cho biết đã gỡ CrowdStrike khỏi toàn bộ hệ thống của công ty
  • Trong trường hợp này, sự cố đã làm suy yếu giá trị cốt lõi mà CrowdStrike đưa ra cho khách hàng: "đội ngũ IT của khách hàng có thể giám sát thiết bị với mức giám sát tối thiểu, còn CrowdStrike sẽ thay họ phát hiện mối đe dọa"
    • Trước đây, các doanh nghiệp chạy phần mềm antivirus cục bộ trên máy chủ riêng và bộ phận IT phải thủ công triển khai các bản cập nhật phần mềm mới
    • CrowdStrike đã đi đầu trong việc thuyết phục các doanh nghiệp áp dụng phần mềm bảo mật dựa trên đám mây, cho phép công ty an ninh mạng cập nhật từ xa
  • Sự cố gián đoạn vào sáng thứ Sáu (giờ Mỹ) đã khiến các hệ thống PC trên toàn thế giới bị sập, và trên nhiều thiết bị xuất hiện màn hình lỗi được gọi là "BSOD Blue Screen of Death"
    • Các chuyến bay bị trì hoãn, một số hoạt động phản ứng 911 bị gián đoạn, và giao dịch ngân hàng bị chậm trễ
  • Theo các quan chức an ninh, việc thường thì "cập nhật dần theo từng đợt nhỏ" nhưng lần này lại phát hành bản cập nhật quy mô lớn cho toàn bộ khách hàng là sai lầm mà CrowdStrike cần phải giải thích
  • CrowdStrike cho đến nay gần như là công ty có thành tích không tì vết
    • Tính theo năm tài chính kết thúc vào tháng 1 năm nay, công ty ghi nhận doanh thu $31B (43 nghìn tỷ won), tăng 36%, và đạt lợi nhuận $89M
    • Trước khi xảy ra sự cố, cổ phiếu CrowdStrike đã tăng 53% trong năm nay, cho thấy sự khác biệt so với nhiều công ty an ninh mạng nhỏ hơn đang có tăng trưởng doanh thu chậm lại
  • Cựu giám đốc an ninh mạng Nhà Trắng Andrew Grotto

    "CrowdStrike vẫn phải trả lời rất nhiều câu hỏi về việc bản cập nhật lỗi lần này đã lọt qua khâu kiểm soát chất lượng như thế nào"
    "CrowdStrike có sản phẩm tuyệt vời và là một công ty bảo mật được tôn trọng, nhưng sự việc này cho thấy ngay cả ở những công ty có sản phẩm mạnh cũng có thể xảy ra chuyện xấu"

Bài viết liên quan

5 bình luận

 
botplaysdice 2024-07-20

Có vẻ ngay cả MS cũng cần suy nghĩ về một giải pháp mang tính căn cơ ở cấp độ nền tảng để có thể ngăn chặn những vấn đề như thế này. Việc sai sót của một bên thứ ba có thể khiến nền tảng bị sập nên được xem là một khiếm khuyết cấu trúc và bảo mật nghiêm trọng.
 
kunggom 2024-07-22

Hiện trong truyền thông trong nước đang có những ý kiến lẫn lộn sự cố của cloud MS Azure khi đó với vụ lần này, nhưng được biết hai sự cố chỉ tình cờ xảy ra cùng ngày và hoàn toàn không liên quan gì đến nhau.

  • Sự cố Azure: do MS cấu hình backend sai, dẫn tới vấn đề trong kết nối giữa server và storage, khiến nhiều dịch vụ SaaS mang thương hiệu MS gặp trục trặc (Incident ID MO821132)
  • Sự cố CrowdStrike: công ty bảo mật phát hành nhầm tệp định nghĩa mã độc, khiến nhiều hệ thống đang sử dụng dịch vụ của hãng bảo mật này trên hệ điều hành Windows bị BSOD (vụ việc lần này)

Có vẻ cũng có những trường hợp doanh nghiệp vận hành server nền tảng Windows và đăng ký CrowdStrike bị sập server nên chịu thiệt hại, nhưng trong những trường hợp như vậy thì tôi thấy việc cho rằng nhà cung cấp nền tảng phải đưa ra đối sách mang tính căn bản là hơi kỳ. Tất nhiên, cũng không thể nói là sẽ không có khả năng sau vụ việc này hệ điều hành Windows sẽ đi theo hướng đặt thêm hạn chế đối với quyền hạn của phần mềm liên quan đến bảo mật…
Điều mà MS nên chú ý hơn có lẽ là vấn đề các sự cố trên SaaS lặp đi lặp lại do lỗi cấu hình backend. Ngay cả vào ngày 27 tháng 6 vừa qua, chưa đầy 1 tháng trước, cũng đã có một sự cố tương tự.
 
ganadist 2024-07-20

Trên Mac, tôi cũng thường thấy trường hợp tính năng lọc mạng của CrowdStrike làm mạng bị tê liệt,
và cũng đã không ít lần khổ sở vì mức sử dụng CPU liên tục nên..(..) đôi lúc cũng có cảm giác là đáng đời(?)..
Tuy vậy, cũng có người nói rằng CrowdStrike vẫn gây ra ít vấn đề hơn so với các giải pháp bảo mật khác.

Có cảm giác rằng dù có chuyển sang giải pháp khác thì tình hình cũng sẽ không thay đổi nhiều.
 
xguru 2024-07-20

Có vẻ các doanh nghiệp trong nước cũng dùng khá nhiều nhỉ. Đã quá lâu rồi kể từ khi tôi làm ở một công ty dùng công cụ bảo mật nên haha.
Ở Hàn Quốc cũng là tối thứ Sáu nên ngoài các sân bay ra thì hình như không có vấn đề lớn nào, cũng chẳng thấy nói gì nhiều.