CrowdStrike - Comment les clients de Versio.io résolvent plus efficacement les pannes informatiques
QMETHODS GmbH

CrowdStrike BSOD

Comment les clients de Versio.io résolvent plus efficacement et plus rapidement les pannes informatiques causées par CrowdStrike

Dans cet article, vous apprendrez :
  • Aperçu de la panne informatique mondiale causée par CrowdStrike le 19 juillet 2024
  • Que faut-il pour détecter CrownStrike avec Versio.io ?
  • Comment les clients de Versio.io identifient les serveurs CrowdStrike affectés
  • Foire aux questions sur le problème BSOD CrowdStrike de la part des clients Versio.io

Panne informatique mondiale due à CrowdStrike

CrowdStrike - Comment les clients de Versio.io résolvent plus efficacement les pannes informatiquesLe fournisseur de sécurité CrowdStrike a publié une mise à jour de sa plateforme populaire le 19 juillet 2024, qui a finalement causé un problème ayant entraîné la panne de nombreux ordinateurs Windows, provoquant un BSOD (écran bleu de la mort). L'impact mondial a touché presque tous les grands secteurs d'activité, entraînant la fermeture de succursales bancaires, l'annulation de vols, la panne de terminaux de point de vente et, malheureusement, bien d'autres conséquences. De nombreuses organisations ont du mal à déterminer l'étendue du problème et les dépendances existantes sur les machines affectées.
 

Que faut-il pour reconnaître CrownStrike avec Versio.io ?

CrowdStrike - Comment les clients de Versio.io résolvent plus efficacement les pannes informatiquesL'Agent Versio.io OneImporter avec les modules « OS & hardware » et « Process (OS) » doit être installé sur les serveurs. Il effectue un inventaire entièrement automatisé au niveau de l'infrastructure et des applications. De plus, OneImporter veille à ce que toutes les modifications soient enregistrées en continu. Vous disposez ainsi à tout moment de toutes les informations relatives à vos serveurs dans Versio.io, et ce, presque en temps réel. Nous appelons également cela le « jumeau numérique », car cela signifie que l'ensemble de votre environnement informatique est à votre disposition dans un référentiel central.
 

Comment les clients de Versio.io identifient les serveurs CrowdStrike affectés

Avec la plateforme d'inventaire Versio.io, vous pouvez rapidement comprendre ce qui s'exécute dans votre environnement au niveau de l'infrastructure et des applications. Grâce à la reconnaissance automatique des topologies Versio.io des serveurs, des processus, des services d'application et des applications web dans les centres de données et les environnements multicloud, vous pouvez rapidement identifier les serveurs affectés par CrownStrike.
 

Enregistrez automatiquement l'utilisation de CrowdStrike dans l'environnement informatique.

Enregistrez automatiquement l'utilisation de CrowdStrike dans l'environnement informatique.
X

Enregistrez automatiquement l'utilisation de CrowdStrike dans l'environnement informatique.

L'agent OneImporter de la plateforme Versio.io est capable d'enregistrer tous les processus exécutés sur un serveur. Cela inclut l'agent CrowdStrike Falcon nommé « CSFalconService.exe », qui a causé la panne informatique.

L'inventaire entièrement automatisé garantit aux clients de Versio.io des données précises sur l'utilisation de CrowdStrike Falcon Agent. Outre les caractéristiques du processus, Versio.io reconnaît automatiquement le produit et ses numéros de version.

De plus, OneImporter peut utiliser le module « File Importer » pour répertorier le fichier problématique « C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys ».

 

Déterminer les serveurs sur lesquels CrowdStrike Falcon Agent est exécuté via le contexte topologique

X

Déterminer les serveurs sur lesquels CrowdStrike Falcon Agent est exécuté via le contexte topologique

La plateforme Versio.io est capable de reconnaître automatiquement les relations entre les éléments de configuration enregistrés. L'illustration de la topologie montre que l'agent CrowdStrike Falcon a été lancé par un processus appelé « Services.exe », qui a lui-même été lancé par « Wininit.exe ». « Wininit.exe » est le processus le plus important d'un système d'exploitation Windows et a donc une relation directe avec l'instance de serveur « evp-node-1 ».

Sur cette base topologique, chaque agent CrowdStrike Falcon sait désormais sur quel serveur il est exécuté.

 

Identification de tous les serveurs qui utilisent Falcon Agent de CrowdStrike

Identification de tous les serveurs qui utilisent Falcon Agent de CrowdStrike
X

Identification de tous les serveurs qui utilisent Falcon Agent de CrowdStrike

Sur la base des données de processus enregistrées et de la topologie, tous les processus peuvent désormais être filtrés par « CSFalconService.exe » dans Versio.io Reporting et l'hôte d'exécution peut être affiché.

Cela signifie que les clients de Versio.io ont désormais accès à des informations de base sur la portée et les serveurs qui utilisent CrowdStrike Falcon Agent. De la même manière, il serait possible de signaler sur quels serveurs le fichier « C-00000291*.sys » est disponible.

 

Déterminez le comportement d'exécution des serveurs affectés par CrowdStrike à l'aide de OneImporter Heartbeat.

X

Déterminez le comportement d'exécution des serveurs affectés par CrowdStrike à l'aide de OneImporter Heartbeat.

Chacun des serveurs de nos clients est équipé d'un Versio.io OneImporter. Celui-ci envoie des heartbeats au serveur à intervalles réguliers. Le heartbeat est un message qui indique au serveur Versio.io que le OneImporter est fonctionnel. Le statut du heartbeat peut être utilisé dans le tableau de bord OneImporter pour reconnaître les OneImporters fonctionnant sous Windows qui ne fonctionnent plus correctement. En raison de la grande stabilité du OneImporter, on peut supposer que ces systèmes Windows font partie du problème CrowdStrike pendant la période de panne informatique mondiale.

 

Questions et réponses

Questions fréquemment posées par les clients de Versio.io au sujet du problème BSOD de CrowdStrike.
 

Les services Versio.io ont-ils été affectés par la panne ?

Les services de la plateforme Versio.io n'ont pas été affectés par le problème CrowdStrike, car la plateforme fonctionne uniquement sur des ordinateurs Linux. Tous les agents OneImporter et OneGates peuvent être affectés s'ils fonctionnent sur des systèmes Windows. Dans le tableau de bord OneImporter et OneGate, vous pouvez toutefois facilement reconnaître quand les agents ne sont plus fonctionnels grâce au heartbeat.

Quelle était la cause de la panne ?

CrowdStrike a publié une mise à jour pour les PC Windows qui contenaient un défaut. Les serveurs concernés ont été forcés dans une boucle de démarrage qui les empêchait de s'allumer. La séquence de démarrage est la première fois qu'un serveur est allumé, pendant laquelle les systèmes d'exploitation, les applications et les services fonctionnant sur le serveur sont mis en ligne pour la première fois.

Pourquoi la panne a-t-elle été si grave ?

Si un serveur affecté est bloqué dans une boucle de démarrage, il ne peut établir aucune communication ni aucun service, c'est-à-dire qu'il ne répond pas aux requêtes ou aux commandes. C'est comme si le serveur était éteint. Afin de restaurer les services, la rectification doit être effectuée individuellement et manuellement. Le processus de remédiation peut également être complexe et fastidieux pour chaque serveur et peut impliquer un « retour » à un point antérieur à partir de sauvegardes. Au total, environ 8,5 millions d'appareils Windows sont concernés.

Y a-t-il un calendrier pour le rétablissement des services ?

La correction étant manuelle et chronophage, la reprise du service dépend des serveurs impliqués dans les applications les plus critiques et de ceux qui sont prioritaires par rapport aux services moins critiques. Cela peut prendre des heures, voire des jours, pour de nombreuses organisations. Les clients de Versio.io peuvent accélérer ce processus en identifiant rapidement les hôtes affectés et en hiérarchisant les plus critiques en fonction des besoins de protection.

Comment Versio.io aide-t-il ses clients touchés par la panne ?

Ce problème doit être résolu manuellement, mais Versio.io identifie les serveurs et les services concernés. Grâce à ces informations, nous simplifions le processus pour nos clients qui souhaitent créer des plans et restaurer les serveurs et services associés à leurs applications les plus critiques (haute protection).

De nombreux clients Versio.io sont-ils affectés par cette panne ?

Oui, car cette interruption était inévitable après la publication par CrowdStrike de la mise à jour boguée. Bon nombre des entreprises les plus importantes et les plus influentes au monde utilisent CrowdStrike pour protéger leurs terminaux. Heureusement, Versio.io aide nos clients à identifier rapidement les serveurs affectés et à les classer par ordre de priorité afin qu'ils puissent rétablir rapidement les services essentiels à leurs activités. En sachant exactement quels serveurs hors ligne sont connectés à des services critiques spécifiques et en connaissant les relations de dépendance exactes, les équipes informatiques peuvent rapidement créer des plans de remédiation manuels pour rétablir efficacement les fonctions critiques de l'entreprise. Les clients de Versio.io connaissent très bien ce processus, car ils l'utilisent lorsque des vulnérabilités zero-day telles que log4j sont découvertes et constituent une menace immédiate pour une grande partie de leur environnement. Dans ces cas de vulnérabilités, Versio.io aide les clients à identifier et à hiérarchiser immédiatement le code affecté.


Auteurs | 19 juillet 2024


Fabian Klose
Fabian Klose
Head of Software Development
P:  +49-30-221986-51
LinkedIn
Matthias Scholze
Matthias Scholze
Chief Technology Officer
P:  +49-30-221986-51
LinkedIn