כשבאג הופך לאסון: התקרית שהרעידה את עולם הסייבר

עדכון התוכנה הפגום של קראודסטרייק חיזק את החשש שארגונים רבים אינם מוכנים מספיק להתמודד עם כשלים פתאומיים במערכות IT

כשבאג הופך לאסון: התקרית שהרעידה את עולם הסייבר

רוני צארום | צלם: איליה מלניקוב

ב-19 ביולי 2024, גרם עדכון שגרתי לפלטפורמת פלקון של קראודסטרייק לכשל מערכתי רחב היקף, שהשפיע על רשתות ארגוניות ברחבי העולם. השבוע, בעקבות אותו כשל, קיימה חברת מיקרוסופט כנס שנועד לדון בצעדים לשיפור מערכות אבטחת הסייבר.

הכנס סימן את הצעד המשמעותי הראשון של מיקרוסופט לטיפול בבעיות שהשפיעו על כמעט 8.5 מיליון מכשירי Windows, ושיבשו את הפעילות בשורה ארוכה של תעשיות, החל מחברות תעופה גדולות ועד בנקים ושירותי בריאות.

עדכון התוכנה הפגום של קראודסטרייק חיזק את החשש שארגונים רבים אינם מוכנים מספיק להתמודד עם כשלים פתאומיים במערכות IT או בכל רכיב תוכנה קריטי אחר. האירוע גם חשף את הסיכונים הנובעים מתלות יתר בספק יחיד שמספק פתרונות אבטחה כוללים, מה שעלול להוביל לנפילת כלל המערכת במקרה של כשל נקודתי.

כדי להבין את המורכבויות הטכניות של תקרית זו ואת השלכותיה על ארכיטקטורת אבטחת המידע, שוחחנו עם רוני צארום, מייסד ומנכ"ל חברת אבטחת הסייבר CyFox, מומחה סייבר ותיק עם למעלה משלושה עשורים של ניסיון בפתרונות אבטחה ברמת הקרנל ובתשתיות טכנולוגיית מידע ארגוניות.

הפרטים הטכניים

הסיבה המרכזית הייתה באג קריטי בדרייבר במצב קרנל של חיישן פלקון של קראודסטרייק. ספציפית, מדובר בפגיעות 'שימוש לאחר שחרור' במערכת ניהול הזיכרון. באג זה גרם לדרייבר לשחרר ולהשתמש מחדש באזורים בזיכרון בצורה לא נכונה, מה שהוביל להשחתת זיכרון. האינטראקציות עם הזיכרון הפגום גרמו לשרשרת קריסות קרנל במערכות חלונות, שהובילו להופעת 'מסך הכחול של המוות'. מה שהחמיר את המצב היה האופי המתפשט של הבאג: לאחר הפעלה מחדש, המערכות התחברו מחדש לתשתית הענן של קראודסטרייק, טענו את העדכון הפגום, וקרסו שוב באופן מיידי, מה שיצר לולאת אתחול מתמשכת.

דרייברים במצב קרנל פועלים ברמה 0, שהיא רמת ההרשאות הגבוהה ביותר בארכיטקטורות מעבדים מודרניות. זה מאפשר להם גישה בלתי מסוננת לחומרה ולזיכרון המערכת, דבר קריטי עבור פתרונות אבטחה מסוימים שמבוססים על יישום בקרנל בכדי ליירט ולנתח קריאות מערכת, לפקח על תעבורת רשת ברמת החבילות, ולזהות רוטקיטים או תוכנות זדוניות ברמה נמוכה. עם זאת, הכוח הזה טומן בחובו סיכונים משמעותיים. באג בקוד במצב קרנל יכול להוביל לקריסת המערכת כולה, כפי שראינו במקרה של קראודסטרייק. בנוסף, דרייברים במצב קרנל עלולים להיות מנוצלים על ידי מתקיפים להשגת הרשאות ברמת המערכת ולהפוך פתרון אבטחה לוקטור תקיפה. זהו חרב פיפיות שדורשת תרגולי קידוד קפדניים, בדיקות מקיפות, ומנגנוני כשל בטוחים למניעת כשלונות קטסטרופליים.

ההשפעה הייתה רב-ממדית: ראשית, מערכות שנפגעו קרסו והופעלו מחדש שוב ושוב, והן הציפו את הרשתות בבקשות רישום מחדש ובניסיונות עדכון, דבר שגרם לצריכת רוחב פס משמעותית ולעיתים אף לשיבוש קישורים רשתיים. בנוסף, שרתי הדומיין הוצפו בבקשות אימות ממערכות שהופעלו מחדש, מה שגרם לעיכובים בשכפול ובמקרים מסוימים אף לכשלי שירות. הקריסות הפתאומיות של המערכות הובילו לפעולות קלט/פלט לא שלמות, דבר שעלול היה להשחית מסדי נתונים ומערכות קבצים. ארגונים רבים נאלצו ליזום בדיקות שלמות נתונים מלאות ושחזור מעתודות גיבוי. לבסוף, עם השבתת הפתרון של קראודסטרייק, ארגונים רבים נותרו ללא הגנת הנקודות העיקרית שלהם, מה שיצר חלון פגיעות שעלול היה להיות מנוצל על ידי תוקפים.

התקלה הזו השפיעה עמוקות על הכלכלה העולמית, עם הפסדים מוערכים במיליארדי דולרים. השיבושים גרמו להפסדי ייצור, הפרעות בשירותים ועלויות תיקון ושחזור מערכות בארגונים רבים. נוסף על כך, חברות ביטוח נאלצו להתמודד עם תביעות רבות בעקבות הפגיעה הכלכלית, ושוק המניות הגיב בירידות חדות במניות של חברות טכנולוגיה ואבטחת מידע. המשבר הזה הדגיש את הפגיעות של הכלכלה המודרנית לתקלות טכנולוגיות, במיוחד בתחום הקריטי של אבטחת מידע.

 עתיד ארכיטקטורות אבטחת נקודות קצה?

בעולם של היום, שבו האיומים משתנים ומתפתחים בקצב מהיר, הגמישות והיכולת להתאים את עצמך בזמן אמת הם קריטיים. סייפוקס, לדוגמה, מציעה מערכת המשלבת בינה מלאכותית מתקדמת עם יכולות ניתוח עמוקות של נתונים, דבר שמאפשר זיהוי מתקפות במהירות וביעילות, תוך שמירה על יציבות ושרידות המערכת. עם זאת, הגישה הזו גם מפחיתה את הסיכונים הכרוכים בתקלות ברמת הקרנל ומאפשרת תגובה מהירה ומותאמת לאיומים מבלי לפגוע בפעילות השוטפת של הארגון.

יתרון נוסף של אבטחת נקודות קצה מבוססת שירות הוא היכולת להגיב בזמן אמת לאיומים באמצעות ניתוח דינמי של התנהגות המערכת. בעוד שפתרונות במצב קרנל דורשים רמת תחזוקה גבוהה ובדיקות מקיפות לכל עדכון, פתרונות מבוססי בינה מלאכותית יכולים להתעדכן בצורה רציפה ולהתאים את עצמם לאיומים מתפתחים ללא צורך בהתערבות ידנית משמעותית.

בסופו של דבר, אני מאמין שארכיטקטורות אבטחה ימשיכו להתקדם לכיוון פתרונות מבוססי שירות ובינה מלאכותית, המאפשרים רמה גבוהה של אבטחה מבלי להקריב את יציבות המערכת. המפתח יהיה להמשיך לשלב טכנולוגיות חדשניות עם עקרונות אבטחה מבוססים כדי לספק הגנה חזקה ויעילה נגד איומים מתפתחים.

תקרית קראודסטרייק משמשת תזכורת בולטת לאיזון העדין בין אבטחה ויציבות מערכת באקוסיסטם הדיגיטלי המודרני שלנו. היא מדגישה את הצורך בפרוטוקולי בדיקה מתקדמים יותר, ארכיטקטורות אבטחה מגוונות ואסטרטגיות התאוששות מאסון מקיפות. ככל שנמשיך קדימה, האתגר עבור אנשי אבטחת המידע יהיה לנצל את הכוח של פתרונות אבטחה ברמת הקרנל תוך יישום אמצעי הגנה מפני הסיכונים הגלומים בהם. תקרית זו עשויה לשמש קטליזטור לחדשנות באבטחת נקודות קצה ולדחוף את התעשייה לעבר ארכיטקטורות עמידות ונטולות תקלות. בנוף הסייבר המשתנה ללא הרף, למידה מתמשכת, התאמה, ומידה בריאה של פרנויה נשארים ההגנות הטובות ביותר שלנו מול האיומים הלא נודעים של המחר.


רוני צארום, מיסד ומנכ״ל CyFOx

img
פרשנות | כוח צבאי משמעותי של נאט״ו יכול להקטין הסתברות למלחמה גרעינית באירופה
דעה | אופציה צבאית ישראלית תוכל לרסן את איראן 
קבוצת SQLink רוכשת את ZIGIT הישראלית
קבוצת SQLink רוכשת את ZIGIT הישראלית