BSOD de CrowdStrike
Cómo los clientes de Versio.io resuelven de forma más eficiente y rápida la interrupción del servicio de TI causada por CrowdStrike
- Resumen de la interrupción global de los servicios informáticos causada por CrowdStrike el 19 de julio de 2024.
- ¿Qué se necesita para detectar CrownStrike con Versio.io?
- Cómo identifican los clientes de Versio.io los servidores CrowdStrike afectados
- Preguntas frecuentes sobre el problema BSOD de CrowdStrike de los clientes de Versio.io
Interrupción global de los servicios de TI debido a CrowdStrike
El proveedor de seguridad CrowdStrike lanzó una actualización de su popular plataforma
el 19 de julio de 2024 que, en última instancia, provocó un problema que causó el
fallo de muchos equipos basados en Windows, lo que dio lugar a una BSOD (pantalla
azul de la muerte). El impacto global ha afectado a casi todos los sectores importantes,
lo que ha provocado el cierre de sucursales bancarias, la cancelación de vuelos, el
fallo de máquinas de punto de venta minorista y, lamentablemente, mucho más. Muchas
organizaciones están luchando por determinar el alcance del problema y qué dependencias
existen en los equipos afectados.
¿Qué se necesita para reconocer CrownStrike con Versio.io?
El Versio.io OneImporter Agent con los módulos «OS & hardware» y «Process (OS)» debe
estar instalado en los servidores. Esto lleva a cabo un inventario totalmente automatizado
a nivel de infraestructura y aplicación. Además, el OneImporter garantiza que todos
los cambios se registren continuamente. Esto significa que siempre tendrá toda la
información sobre sus servidores disponible en Versio.io casi en tiempo real. También
lo llamamos «gemelo digital», ya que significa que todo su entorno informático está
a su disposición en un repositorio central.
Cómo identifican los clientes de Versio.io los servidores CrowdStrike afectados
Registre automáticamente el uso de CrowdStrike en el entorno de TI.
Registre automáticamente el uso de CrowdStrike en el entorno de TI.
El agente OneImporter de la plataforma Versio.io es capaz de registrar todos los procesos ejecutados en un servidor. Esto incluye el agente CrowdStrike Falcon denominado «CSFalconService.exe», que causó la interrupción del servicio informático.
El inventario totalmente automatizado garantiza que los clientes de Versio.io dispongan de datos precisos sobre el uso de CrowdStrike Falcon Agent. Además de las características del proceso, Versio.io reconoce automáticamente el producto y sus números de versión.
Además, OneImporter puede utilizar el módulo «File Importer» para inventariar el archivo problemático «C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys».
Determinar los servidores en los que se está ejecutando CrowdStrike Falcon Agent a través del contexto de topología.
Determinar los servidores en los que se está ejecutando CrowdStrike Falcon Agent a través del contexto de topología.
La plataforma Versio.io es capaz de reconocer automáticamente las relaciones entre los elementos de configuración registrados. La ilustración de la topología muestra que CrowdStrike Falcon Agent se inició mediante un proceso denominado «Services.exe», que a su vez fue iniciado por «Wininit.exe». «Wininit.exe» es el proceso más importante de un sistema operativo Windows y, por lo tanto, tiene una relación directa con la instancia del servidor «evp-node-1».
Sobre esta base topológica, ahora es transparente para cada agente CrowdStrike Falcon en qué servidor se ejecuta.
Identificación de todos los servidores que utilizan CrowdStrike Falcon Agent.
Identificación de todos los servidores que utilizan CrowdStrike Falcon Agent.
Basándose en los datos registrados del proceso y en la topología, ahora todos los procesos pueden filtrarse por «CSFalconService.exe» en Versio.io Reporting y se puede mostrar el host en ejecución.
Esto significa que los clientes de Versio.io ahora tienen acceso a información básica sobre el alcance y los servidores que utilizan CrowdStrike Falcon Agent. Del mismo modo, sería posible informar sobre en qué servidores está disponible el archivo «C-00000291*.sys».
Determine el comportamiento en tiempo de ejecución de los servidores afectados por CrowdStrike utilizando OneImporter Heartbeat.
Determine el comportamiento en tiempo de ejecución de los servidores afectados por CrowdStrike utilizando OneImporter Heartbeat.
Cada uno de los servidores de nuestros clientes cuenta con un Versio.io OneImporter. Este envía pulsos de actividad al servidor a intervalos regulares. El heartbeat es un mensaje que indica al servidor Versio.io que OneImporter está funcionando. El estado del heartbeat se puede utilizar en el panel de control de OneImporter para reconocer qué OneImporters que se ejecutan en sistemas operativos Windows ya no funcionan correctamente. Debido a la alta estabilidad de OneImporter, se puede suponer que estos sistemas Windows forman parte del problema de CrowdStrike durante el periodo de interrupción global de los servicios informáticos.
Preguntas y respuestas
¿Se vieron afectados los servicios de Versio.io por la interrupción?
Los servicios de la plataforma Versio.io no se vieron afectados por el problema de CrowdStrike, ya que la plataforma solo funciona en ordenadores con Linux. Todos los agentes OneImporter y OneGates pueden verse afectados si se ejecutan en sistemas Windows. Sin embargo, en el panel de control de OneImporter y OneGate, se puede reconocer fácilmente cuándo los agentes ya no funcionan gracias al heartbeat.
¿Cuál fue la causa del fallo?
CrowdStrike ha publicado una actualización para PC con Windows que contenía un defecto. Los servidores afectados se veían forzados a entrar en un bucle de arranque que impedía su encendido. La secuencia de arranque es la primera vez que se enciende un servidor, durante la cual se conectan por primera vez los sistemas operativos, las aplicaciones y los servicios que se ejecutan en el servidor.
¿Por qué fue tan grave el corte?
Si un servidor afectado se queda bloqueado en un bucle de arranque, no puede establecer comunicación ni servicios, es decir, no responde a solicitudes ni comandos. Es como si el servidor estuviera apagado. Para restaurar los servicios, la rectificación debe realizarse de forma individual y manual. El proceso de reparación también puede ser complejo y llevar mucho tiempo para cada servidor, y puede implicar una «reversión» a un punto anterior en el tiempo a partir de copias de seguridad. En total, se estima que hay 8,5 millones de dispositivos Windows afectados.
¿Hay un calendario para restablecer los servicios?
Dado que la reparación es manual y lleva mucho tiempo, la recuperación del servicio depende de qué servidores están involucrados en las aplicaciones más críticas y qué servidores tienen prioridad sobre los servicios menos críticos. Esto puede llevar horas o días en muchas organizaciones. Los clientes de Versio.io pueden acelerar este proceso encontrando rápidamente los hosts afectados y dando prioridad a los más críticos en función de las necesidades de protección.
¿Cómo ayuda Versio.io a nuestros clientes afectados por la interrupción del servicio?
Este problema debe solucionarse manualmente, pero Versio.io reconoce qué servidores y qué servicios se ven afectados. Con esta información, simplificamos el proceso para que nuestros clientes puedan crear planes y restaurar servidores y servicios asociados con sus aplicaciones más críticas (alta protección).
¿Hay muchos clientes de Versio.io afectados por la interrupción del servicio?
Sí, porque esta interrupción era inevitable después de que CrowdStrike lanzara la actualización defectuosa. Muchas de las empresas más grandes e importantes del mundo utilizan CrowdStrike para la protección de sus terminales. Afortunadamente, Versio.io ayuda a nuestros clientes a identificar y priorizar rápidamente los servidores afectados para que puedan restablecer rápidamente los servicios de sus funciones empresariales más críticas. Al saber exactamente qué servidores desconectados están conectados a servicios empresariales críticos específicos y las relaciones de dependencia exactas, los equipos de TI pueden crear rápidamente planes de corrección manuales para restablecer de manera eficiente las funciones críticas para el negocio. Los clientes de Versio.io están muy familiarizados con este proceso, ya que lo utilizan cuando se descubren vulnerabilidades de tiempo de ejecución de día cero, como log4j, que suponen una amenaza inmediata para gran parte de su entorno. En estos casos de vulnerabilidades, Versio.io ayuda a los clientes a identificar y priorizar inmediatamente el código afectado.
Autores | 19 de julio de 2024
