CrowdStrike BSOD
Wie Versio.io-Kunden den durch CrowdStrike verursachten IT-Ausfall effizienter und schneller beheben konnten
Kurz gesagtDemo anfordernKostenlos testen- Ein Überblick über den weltweiten IT-Ausfall, der am 19. Juli 2024 durch CrowdStrike verursacht wurde
- Was wird benötigt, um CrownStrike mit Versio.io zu erkennen?
- So identifizieren Versio.io-Kunden die betroffenen CrowdStrike-Server
- Häufig gestellte Fragen zum BSOD-Problem von CrowdStrike von Versio.io-Kunden
Weltweiter IT-Ausfall aufgrund von CrowdStrike
Der Sicherheitsanbieter CrowdStrike veröffentlichte am 19. Juli 2024 ein Update für
seine beliebte Plattform, das letztendlich zu einem Problem führte, das viele Windows-basierte
Rechner zum Absturz brachte und einen BSOD (Blue Screen of Death) verursachte. Die
weltweiten Auswirkungen betrafen fast alle wichtigen Branchen und führten unter anderem
zu Bankfilialschließungen, Flugausfällen und Ausfällen von Kassensystemen im Einzelhandel.
Viele Unternehmen haben Schwierigkeiten, das Ausmaß des Problems zu ermitteln und
festzustellen, welche Abhängigkeiten auf den betroffenen Rechnern bestehen.
Was ist erforderlich, um CrownStrike mit Versio.io zu erkennen?
Auf den Servern muss der Versio.io OneImporter Agent mit den Modulen „OS & Hardware“
und „Process (OS)“ installiert sein. Dieser führt eine vollautomatische Inventarisierung
auf Infrastruktur- und Anwendungsebene durch. Darüber hinaus sorgt der OneImporter
dafür, dass alle Änderungen kontinuierlich erfasst werden. So haben Sie in Versio.io
immer alle Informationen zu Ihren Servern nahezu in Echtzeit verfügbar. Wir nennen
dies auch den „digitalen Zwilling“, da Ihnen damit Ihre gesamte IT-Landschaft in einem
zentralen Repository zur Verfügung steht.
So identifizieren Versio.io-Kunden die betroffenen CrowdStrike-Server
Automatische Erfassung der CrowdStrike-Nutzung in der IT-Landschaft
Automatische Erfassung der CrowdStrike-Nutzung in der IT-Landschaft
Der OneImporter-Agent der Versio.io-Plattform kann alle auf einem Server ausgeführten Prozesse aufzeichnen. Dazu gehört auch der CrowdStrike Falcon-Agent mit dem Namen „CSFalconService.exe“, der den IT-Ausfall verursacht hat.
Die vollautomatische Inventarisierung stellt sicher, dass Versio.io-Kunden über genaue Daten zur Nutzung des CrowdStrike Falcon Agent verfügen. Neben den Prozessmerkmalen erkennt Versio.io automatisch das Produkt und dessen Versionsnummern.
Darüber hinaus kann OneImporter mithilfe des Moduls „Datei-Importer“ die problematische Datei „C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys“ inventarisieren.
Ermitteln Sie über den Topologiekontext, auf welchen Servern der CrowdStrike Falcon Agent ausgeführt wird.
Ermitteln Sie über den Topologiekontext, auf welchen Servern der CrowdStrike Falcon Agent ausgeführt wird.
Die Versio.io-Plattform ist in der Lage, die Beziehungen zwischen aufgezeichneten Konfigurationselementen automatisch zu erkennen. Die Topologie-Darstellung zeigt, dass der CrowdStrike Falcon Agent von einem Prozess namens „Services.exe“ gestartet wurde, der wiederum von „Wininit.exe“ gestartet wurde. „Wininit.exe“ ist der wichtigste Prozess eines Windows-Betriebssystems und steht daher in direkter Beziehung zur Serverinstanz „evp-node-1“.
Auf dieser topologischen Basis ist nun für jeden CrowdStrike Falcon Agent transparent, auf welchem Server er ausgeführt wird.
Identifizierung aller Server, die den CrowdStrike Falcon Agent verwenden
Identifizierung aller Server, die den CrowdStrike Falcon Agent verwenden
Anhand der aufgezeichneten Prozessdaten und der Topologie können nun alle Prozesse in Versio.io Reporting nach „CSFalconService.exe” gefiltert und der ausführende Host angezeigt werden.
Das bedeutet, dass Versio.io-Kunden nun Zugriff auf grundlegende Informationen über den Umfang und die Server haben, die den CrowdStrike Falcon Agent verwenden. Auf dieselbe Weise wäre es möglich, zu melden, auf welchen Servern die Datei „C-00000291*.sys” verfügbar ist.
Bestimmen Sie das Laufzeitverhalten der von CrowdStrike betroffenen Server mit OneImporter Heartbeat.
Bestimmen Sie das Laufzeitverhalten der von CrowdStrike betroffenen Server mit OneImporter Heartbeat.
Jeder Server unserer Kunden ist mit einem Versio.io OneImporter ausgestattet. Dieser sendet in regelmäßigen Abständen Heartbeats an den Server. Der Heartbeat ist eine Nachricht, die dem Versio.io-Server mitteilt, dass der OneImporter funktionsfähig ist. Anhand des Heartbeat-Status kann im OneImporter-Dashboard erkannt werden, welche OneImporters unter Windows-Betriebssystemen nicht mehr korrekt funktionieren. Aufgrund der hohen Stabilität des OneImporter kann davon ausgegangen werden, dass diese Windows-Systeme während des weltweiten IT-Ausfalls Teil des CrowdStrike-Problems waren.
Fragen und Antworten
Waren die Dienste von Versio.io von dem Ausfall betroffen?
Die Services der Versio.io Platform waren von dem CrowdStrike-Problem nicht betroffen, da die Plattform ausschließlich auf Linux-basierten Rechnern läuft. Alle OneImporter- und OneGates-Agenten können betroffen sein, wenn sie auf Windows-Systemen laufen. Im OneImporter- und OneGate-Dashboard können Sie jedoch anhand des Heartbeats leicht erkennen, wenn die Agenten nicht mehr funktionsfähig sind.
Was war die Ursache für den Fehler?
CrowdStrike hat ein Update für Windows-PCs veröffentlicht, das einen Fehler enthielt. Betroffene Server wurden in eine Boot-Schleife gezwungen, die ein Einschalten verhinderte. Die Boot-Sequenz ist der Vorgang beim ersten Einschalten eines Servers, bei dem die auf dem Server laufenden Betriebssysteme, Anwendungen und Services zunächst online geschaltet werden.
Warum war der Ausfall so schwerwiegend?
Befindet sich ein betroffener Server in einer Boot-Schleife, kann er keine Kommunikation oder Services aufbauen, d. h. er reagiert nicht auf Requests oder Befehle. Es ist, als wäre der Server ausgeschaltet. Um die Services wiederherzustellen, muss die Behebung individuell und manuell durchgeführt werden. Der Behebungsprozess kann für jeden Server komplex und zeitaufwändig sein und unter Umständen ein „Rollback” auf einen früheren Zeitpunkt aus Backups erfordern. Insgesamt sind schätzungsweise 8,5 Millionen Windows-Geräte betroffen.
Gibt es einen Zeitplan für die Wiederherstellung der Dienste?
Da die Behebung manuell und zeitaufwändig ist, hängt die Wiederherstellung des Dienstes davon ab, welche Server an den kritischsten Anwendungen beteiligt sind und welche Server gegenüber weniger kritischen Diensten priorisiert werden. Dies kann in vielen Unternehmen Stunden oder sogar Tage dauern. Kunden von Versio.io können diesen Prozess beschleunigen, indem sie betroffene Hosts schnell finden und anhand der Schutzanforderungen die kritischsten zuerst priorisieren.
Wie hilft Versio.io unseren Kunden, die von dem Ausfall betroffen sind?
Dieses Problem muss manuell behoben werden, aber Versio.io erkennt, welche Server und welche Dienste betroffen sind. Mit diesen Informationen vereinfachen wir unseren Kunden die Erstellung von Plänen und die Wiederherstellung von Servern und Diensten, die mit ihren wichtigsten (hochgeschützten) Anwendungen verbunden sind.
Sind viele Versio.io-Kunden von dem Ausfall betroffen?
Ja, denn dieser Ausfall war unvermeidbar, nachdem CrowdStrike das fehlerhafte Update veröffentlicht hatte. Viele der weltweit größten und wichtigsten Unternehmen nutzen CrowdStrike für den Endpoint-Schutz. Glücklicherweise hilft Versio.io unseren Kunden, betroffene Server schnell zu identifizieren und zu priorisieren, damit sie die Services für ihre wichtigsten Geschäftsfunktionen schnell wiederherstellen können. Da sie genau wissen, welche Offline-Server mit bestimmten kritischen Business-Services verbunden sind und wie die genauen Abhängigkeiten aussehen, können IT-Teams schnell manuelle Pläne zur Behebung erstellen, um geschäftskritische Funktionen effizient wiederherzustellen. Versio.io-Kunden sind mit diesem Prozess bestens vertraut, da sie ihn nutzen, wenn Zero-Day-Schwachstellen wie log4j entdeckt werden, die eine unmittelbare Bedrohung für große Teile ihrer Umgebung darstellen. In solchen Fällen hilft Versio.io seinen Kunden, den betroffenen Code sofort zu identifizieren und zu priorisieren.
Autoren | 19. Juli 2024
