Як працює CrowdStrike в Україні та якими були причини й наслідки збою

19 липня у світі стався глобальний збій і 8,5 мільйонів комп’ютерів вийшли з ладу через помилкове оновлення CrowdStrike. Про те, як це вплинуло на компанії в Україні, який головний урок отримала CrowdStrike, та на що слід звернути увагу інженерам з кібербезпеки, ми поспілкувалися з Юрієм Гатуповим, Chief Technology Officer в iIT Distribution, дистриб’юторі продуктів CrowdStrike в Україні.

«На зміну аналізу корисного навантаження прийшов аналіз процесів». Про специфіку EDR

У кібербезпеці є багато різних напрямів: хтось робить фаєрволи, хтось захищає пошту. Компанія CrowdStrike спеціалізується на захисті ендпоїнтів. Бізнес вони розпочали 2011 року, імплементувавши абсолютно новий підхід до захисту комп’ютерів від шкідливого програмного забезпечення. Існує дві технології — антивірус (EPP) та EDR. Класичний антивірус є базою сигнатур, з якою він порівнює корисне навантаження, що потрапляє на ваш комп’ютер. Це стало неефективним, тому що багато зламів були malware-free, без надсилання жодного корисного навантаження на скомпрометований хост.

Саме компанія CrowdStrike придумала та імплементувала поняття EDR. На зміну аналізу корисного навантаження прийшов аналіз процесів, а замість сигнатур використовують телеметрію та індикатори компрометації. EDR завжди є хмарним продуктом, тому що потребує масштабних математичних обчислень. Відмінність від класичного антивірусу — як смартфона від кнопкового телефона.

Нині всі компанії на ринку випускають EDR. Компанія CrowdStrike є найбільшим постачальником EDR у світі. Її продуктами користуються понад 30 тисяч організацій в усьому світі та 60% компаній Fortune 500. За 12 років жоден клієнт CrowdStrike не зазнав кіберінциденту з витоком даних, пошкодженням даних та інфраструктури. У конкурентів такі інциденти траплялися. Наприклад, «Київстар» користувався EDR від конкурентів. Так само як і SoftServe, однак він чотири роки тому змінив постачальника EDR на CrowdStrike і з того моменту не мав інцидентів.

«Їх ніхто не клав, просто пилососом збирали всю інформацію». Про роботу CrowdStrike на українському ринку

Саме я привів CrowdStrike на український ринок у 2020 році. Однак вмовити їх було складно: вони вважали Україну ризикованою територією через географічну близькість до росії. Від самого заснування у 2011 році CrowdStrike ніколи не реалізовував свої продукти в таких країнах, як росія, Китай, Іран, Північна Корея — це суперечило їхній політиці. Зокрема, вони вважають, що не можна нічого продавати в країни, які на державному рівні фінансують кіберзлочинність. Я витратив дуже багато часу, щоб переконати компанію, що ми ніяк не пов’язані з росією. До речі, навіть зараз кожен клієнт з України проходить compliance check у CrowdStrike, і за чотири роки було з десяток відмов. Це компанії, які мають хоч якийсь стосунок до росії. Наприклад, «Укртатнафта».

Ми єдиний в Україні дистриб’ютор продуктів CrowdStrike, але в нас є декілька партнерів, які займаються продажами. По суті ми виконуємо роль представництва. Наша команда налічує більше ніж 20 людей. Також ми відкрили офіси в Казахстані та Польщі. У нас понад 70 клієнтів в Україні, з них орієнтовно 80% донедавна становив бізнес. Останнім часом додалися державні установи, які з початком війни складають близько 25% клієнтів.

Один з центральних органів державної влади місяць тому став нашим клієнтом, і відразу після інсталяції CrowdStrike ми знайшли інцидент, за який уже взялися відповідні органи. Структура дуже довго була скомпрометована. Їх ніхто не клав, просто пилососом збирали всю інформацію. Російське ГУР читало їхню пошту, тому ми попросили зареєструвати окрему скриньку для комунікації та не заходити в неї через свій корпоративний інтернет. Зараз у нас 15 тисяч хостів у державному секторі, і ця цифра може зрости до 35 тисяч. Є допомога від донорів, плюс у державних установах з’явилося розуміння, що кібербезпека — це важливо.

«На відміну від ЄС, в Україні немає жодних вимог до підрядників щодо кібербезпеки для роботи з державними органами»

Кажуть, що в ЄС compliance-driven market, а у нас risk-driven market, тобто кожна компанія сама оцінює ризики. Єдиний compliance-driven субринок — це офшорна розробка. Їх до цього підштовхують закордонні клієнти, які вимагають сертифікації типу SOC 2 чи HIPAA.

Ми шукаємо продакт-менеджерів та інженерів з кібербезпеки. Інженери в кібербезпеці поділяються на red team та blue team. Ті, хто знають, як ламати, — це red team. Ті, хто працюють з рішеннями на кшталт CrowdStrike і вміють захищати, — це blue team. Нас цікавить другий тип фахівців. Розглядаємо і випускників університетів. Цього року найняли людину, яка ще навчається. А окрім того, беремо участь у навчанні ветеранів.

«Наш інженер сказав, що робити, ще до оприлюднення інструкції від CrowdStrike». Про збій 19 липня

19 липня не було жодного оновлення програмного забезпечення — його проводили за два дні до цього. І серйозні компанії ніколи не використовують останню версію. Вони працюють на N-1, N-2 або оновлюються в ручному режимі. А збій був масовий.

Оновлений був файл з інструкціями для драйвера, які працюють на рівні ядра для збору телеметрії. Коли CrowdStrike знаходить якусь загрозу, на всі 15–20 мільйонів хостів, які вони покривають, відправляється файл з інформацією, на що підняти червоний прапорець. У такий спосіб працюють усі EDR. Оцей файл з інструкцією все і поклав. Там були неліквідні адреси. Користувач наразі не може контролювати оновлення цих файлів. Це як в антивірусах оновлення бази сигнатур.

«Першою версією причини збою є диверсія, другою — недбалість»

Я припускаю, що хтось через конкретну людину всередині компанії здійснив диверсію, але цьому немає жодних підтверджень. Просто дуже дивно виглядає, щоб розробник припустився такої помилки. Однак не виключено, що компанія, наприклад, переоцінила можливості AI та автоматичних тестів.

Цей інцидент був суто технічний. Жодного порушення захисту замовників не сталося. Компанія вже повідомила, яких заходів уживе. Зокрема, файли з новими загрозами відтепер будуть у руках адмінів на місцях. Адміністратори зможуть самостійно вирішувати, чи робити деплой цих інструкцій та чи розповсюджувати їх відразу на всю інфраструктуру, на сигнальну групу чи на golden image у пісочниці. Ймовірність такого збою нікчемно мала, але все ж існує. Скоріше за все, це буде новий стандарт індустрії. Наприклад, скільки оновлень Microsoft крешило систему? Безліч, це стається регулярно. Чому це не зупиняє весь світ? Тому що ви самостійно контролюєте, коли це робити й на яких машинах. Це головний урок, який виніс CrowdStrike.

Ми не очікуємо позовів щодо компенсації фінансових збитків в Україні. Наша команда добре зреагувала завдяки співробітникам, партнерам та клієнтам як з державного, так і з корпоративного сектору. Наш інженер сказав, що робити, ще до оприлюднення інструкції від CrowdStrike: запустити в safe-моді й видалити агент. Потім, ще до офіційних роз’яснень, з’ясували, що натомість можна видаляти файл з таким-то номером. Одні клієнти допомагали іншим — це сила спільноти. Основна складність полягала в тому, що часто потрібен був фізичний доступ до машини. Проте вже до кінця дня 19 липня в усіх усе працювало. Delta Airlines витратила на це три дні, і я не розумів, що вони робили стільки часу.

Збій зачепив близько 80% наших клієнтів, тобто понад 50 організацій. Оминуло тільки користувачів macOS і Linux та тих, хто не вмикав комп’ютер протягом тих півтори години. Ніхто з наших клієнтів не планує відмовлятися від CrowdStrike після цього збою. На рівні фахівців, які відповідають за кібербезпеку, всі розуміють імовірність таких інцидентів, тож змогли це комунікувати своєму менеджменту. Весь цей тиждень ми спілкуємося з нашими клієнтами, залучаючи C-level компанії CrowdStrike. З кожним замовником працюємо індивідуально.

«За будь-яким інцидентом з витоком стоїть людина». Про важливість культури кібербезпеки

Я відслужив у ЗСУ близько двох років, з них певний час — на посаді Chief Information Security Officer у військовій частині, яка розробляла програмне забезпечення. Маю трохи досвіду, як будувати та контролювати кіберпроцеси.

За будь-яким інцидентом з витоком стоїть людина. Просте під’єднання комп’ютера до сервера нічого не дасть. Треба йти до користувача не тоді, коли він уже щось наклацав, а ще до того. У мене були випадки, коли люди ставили собі VPN-сервер. Добре, що я знав, як його побачити. А їм так зручно. Тому роз’яснити людям правила кібергігієни — це все одно що навчити їх користуватися милом.

Моя порада спеціалістам з кібербезпеки — пам’ятати про значення комунікації. Люди в організації мають розуміти важливість кібербезпеки, а тому з ними потрібно про це розмовляти. Наприклад, організовувати тренінги про фішингові кампанії абощо. Це значно зменшить кількість інцидентів.

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU