BSOD CrowdStrike
Come i clienti di Versio.io risolvono in modo più efficiente e tempestivo l'interruzione IT causata da CrowdStrike
In poche paroleRichiedi una demoInizia la prova gratuita- Panoramica dell'interruzione globale dei servizi IT causata da CrowdStrike il 19 luglio 2024
- Cosa serve per rilevare CrownStrike con Versio.io
- Come i clienti Versio.io identificano i server CrowdStrike interessati
- Domande frequenti sul problema BSOD di CrowdStrike dai clienti Versio.io
Interruzione globale dei servizi IT a causa di CrowdStrike
Il 19 luglio 2024, il fornitore di sicurezza CrowdStrike ha rilasciato un aggiornamento
della sua popolare piattaforma che ha causato un problema che ha portato al malfunzionamento
di molti computer basati su Windows, con conseguente BSOD (Blue Screen of Death).
L'impatto globale ha colpito quasi tutti i principali settori industriali, causando
la chiusura di filiali bancarie, la cancellazione di voli, il malfunzionamento dei
terminali POS nei negozi e, purtroppo, molto altro ancora. Molte organizzazioni stanno
cercando di determinare l'entità del problema e quali dipendenze esistono sui computer
interessati.
Cosa serve per riconoscere CrownStrike con Versio.io?
Il Versio.io OneImporter Agent con i moduli "OS & hardware" e "Process (OS)" deve
essere installato sui server. Questo esegue un inventario completamente automatizzato
a livello di infrastruttura e applicazione. Inoltre, OneImporter garantisce che tutte
le modifiche vengano registrate continuamente. Ciò significa che in Versio.io avete
sempre a disposizione tutte le informazioni sui vostri server quasi in tempo reale.
Lo chiamiamo anche "gemello digitale", poiché significa che l'intero panorama IT è
a vostra disposizione in un archivio centrale.
Come i clienti Versio.io identificano i server CrowdStrike interessati
Registra automaticamente l'utilizzo di CrowdStrike nel panorama IT
Registra automaticamente l'utilizzo di CrowdStrike nel panorama IT
L'agente OneImporter della piattaforma Versio.io è in grado di registrare tutti i processi eseguiti su un server. Ciò include l'agente CrowdStrike Falcon denominato "CSFalconService.exe", che ha causato l'interruzione del servizio IT.
L'inventario completamente automatizzato garantisce ai clienti di Versio.io dati accurati sull'utilizzo di CrowdStrike Falcon Agent. Oltre alle caratteristiche del processo, Versio.io riconosce automaticamente il prodotto e i numeri di versione.
Inoltre, OneImporter può utilizzare il modulo "File Importer" per inventariare il file che causa il problema "C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys".
Determinare i server su cui è in esecuzione CrowdStrike Falcon Agent tramite il contesto topologico
Determinare i server su cui è in esecuzione CrowdStrike Falcon Agent tramite il contesto topologico
La piattaforma Versio.io è in grado di riconoscere automaticamente le relazioni tra gli elementi di configurazione registrati. L'illustrazione della topologia mostra che CrowdStrike Falcon Agent è stato avviato da un processo denominato "Services.exe", che a sua volta è stato avviato da "Wininit.exe". "Wininit.exe" è il processo più importante di un sistema operativo Windows e quindi ha una relazione diretta con l'istanza del server "evp-node-1".
Su questa base topologica, ora è trasparente per ogni agente CrowdStrike Falcon su quale server viene eseguito.
Identificazione di tutti i server che utilizzano CrowdStrike Falcon Agent
Identificazione di tutti i server che utilizzano CrowdStrike Falcon Agent
Sulla base dei dati di processo registrati e della topologia, tutti i processi possono ora essere filtrati da "CSFalconService.exe" in Versio.io Reporting e può essere visualizzato l'host in esecuzione.
Ciò significa che i clienti Versio.io hanno ora accesso alle informazioni di base relative all'ambito e ai server che utilizzano CrowdStrike Falcon Agent. Allo stesso modo, sarebbe possibile segnalare su quali server è disponibile il file "C-00000291*.sys".
Determinare il comportamento di runtime dei server interessati da CrowdStrike utilizzando OneImporter Heartbeat
Determinare il comportamento di runtime dei server interessati da CrowdStrike utilizzando OneImporter Heartbeat
Ciascuno dei server dei nostri clienti è dotato di un Versio.io OneImporter. Questo invia heartbeat al server a intervalli regolari. L'heartbeat è un messaggio che indica al server Versio.io che OneImporter è funzionante. Lo stato dell'heartbeat può essere utilizzato nella dashboard di OneImporter per riconoscere quali OneImporter in esecuzione su sistemi operativi Windows non funzionano più correttamente. Data l'elevata stabilità di OneImporter, si può presumere che questi sistemi Windows siano stati coinvolti nel problema CrowdStrike durante il periodo di interruzione globale dei servizi IT.
Domande e risposte
I servizi Versio.io sono stati interessati dall'interruzione?
I servizi della piattaforma Versio.io non sono stati interessati dal problema CrowdStrike, poiché la piattaforma funziona solo su computer basati su Linux. Tutti gli agenti OneImporter e OneGates potrebbero essere interessati se funzionano su sistemi Windows. Tuttavia, nella dashboard di OneImporter e OneGate è possibile riconoscere facilmente quando gli agenti non sono più funzionanti grazie al heartbeat.
Qual è stata la causa del guasto?
CrowdStrike ha rilasciato un aggiornamento per i PC Windows che contenevano un difetto. I server interessati sono stati costretti in un ciclo di avvio che impediva loro di accendersi. La sequenza di avvio è la prima volta che un server viene acceso, durante la quale i sistemi operativi, le applicazioni e i servizi in esecuzione sul server vengono prima messi online.
Perché l'interruzione è stata così grave?
Se un server interessato è bloccato in un ciclo di avvio, non è in grado di stabilire comunicazioni o servizi, ovvero non risponde alle richieste o ai comandi. È come se il server fosse spento. Per ripristinare i servizi, è necessario eseguire la correzione individualmente e manualmente. Il processo di riparazione può anche essere complesso e richiedere molto tempo per ogni server e può comportare un "rollback" a un punto precedente nel tempo dai backup. In totale, si stima che siano interessati circa 8,5 milioni di dispositivi Windows.
Esiste un programma per il ripristino dei servizi?
Poiché la riparazione è manuale e richiede tempo, il ripristino del servizio dipende dai server coinvolti nelle applicazioni più critiche e dai server a cui viene data priorità rispetto ai servizi meno critici. Questo può richiedere ore o giorni per molte organizzazioni. I clienti Versio.io possono accelerare questo processo individuando rapidamente gli host interessati e dando priorità a quelli più critici in base alle esigenze di protezione.
In che modo Versio.io aiuta i nostri clienti che sono stati colpiti dall'interruzione?
Questo problema deve essere risolto manualmente, ma Versio.io riconosce quali server e quali servizi sono interessati. Grazie a queste informazioni, semplifichiamo il processo per i nostri clienti nella creazione di piani e nel ripristino dei server e dei servizi associati alle loro applicazioni più critiche (ad alta protezione).
Molti clienti Versio.io sono stati colpiti dall'interruzione del servizio?
Sì, perché questa interruzione era inevitabile dopo che CrowdStrike ha rilasciato l'aggiornamento difettoso. Molte delle aziende più grandi e importanti al mondo utilizzano CrowdStrike per la protezione degli endpoint. Fortunatamente, Versio.io aiuta i nostri clienti a identificare rapidamente e dare priorità ai server interessati, in modo che possano ripristinare rapidamente i servizi per le loro funzioni aziendali più critiche. Sapendo esattamente quali server offline sono collegati a specifici servizi aziendali critici e le esatte relazioni di dipendenza, i team IT possono creare rapidamente piani di riparazione manuali per ripristinare in modo efficiente le funzioni critiche per l'azienda. I clienti di Versio.io hanno molta familiarità con questo processo, poiché lo utilizzano quando vengono scoperte vulnerabilità zero-day runtime come log4j che rappresentano una minaccia immediata per gran parte del loro ambiente. In questi casi di vulnerabilità, Versio.io aiuta i clienti a identificare immediatamente e dare priorità al codice interessato.
Autori | 19 luglio 2024
