Quy mô của sự cố IT toàn cầu do một bản cập nhật phần mềm lỗi gây ra đã khiến nhiều người tự hỏi làm thế nào một bản cập nhật cho phần mềm bảo mật của một công ty có thể có tác động lớn như vậy. Trớ trêu thay, ảnh hưởng của lỗi CrowdStrike gần như giống hệt với điều mà nó được thiết kế để ngăn chặn.
Một phần lý do cho quy mô của tác động là thực tế đơn giản rằng CrowdStrike được sử dụng bởi hầu hết các tập đoàn lớn trên thế giới.
United, Delta và American Airlines là một trong số những hãng hàng không buộc phải hạ cánh máy bay. Đài phát thanh Sky News đã bị ngừng phát sóng trong vài giờ. Nhiều nhà bán lẻ không thể chấp nhận thanh toán. Tóm lại, ngoài kia đang hỗn loạn. Nhưng phần khác của vấn đề là bản chất của phần mềm, như Bloomberg giải thích.
Phần mềm diệt virus truyền thống rất hữu ích trong những ngày đầu của máy tính và internet vì khả năng tìm kiếm các dấu hiệu của phần mềm độc hại đã biết, nhưng nó đã trở nên lỗi thời khi các cuộc tấn công trở nên tinh vi hơn. Giờ đây, các sản phẩm được gọi là phần mềm “phát hiện và phản hồi điểm cuối” mà CrowdStrike phát triển còn làm nhiều hơn thế, liên tục quét các máy tính để tìm bất kỳ dấu hiệu hoạt động đáng ngờ nào và tự động phản hồi.
Nhưng để làm điều này, các chương trình này phải được cấp quyền truy cập để kiểm tra lõi của hệ điều hành máy tính để tìm các lỗ hổng bảo mật. Quyền truy cập này cho phép chúng có khả năng phá hủy chính hệ thống mà chúng đang cố gắng bảo vệ.
Một trong những mối đe dọa lớn nhất đối với cơ sở hạ tầng IT hiện nay là các cuộc tấn công ransomware phá hoại, nơi một kẻ tấn công đưa các hệ thống quan trọng của công ty ra khỏi hoạt động và không khôi phục chúng cho đến khi thanh toán được thực hiện. Đó là một trong những điều chính mà CrowdStrike được thiết kế để ngăn chặn.
Nhưng vì phần mềm được cấp quyền truy cập mạnh mẽ như vậy vào các máy tính, một lỗi trong phần mềm có tiềm năng phá hoại như các loại tấn công mà nó được thiết kế để chặn.
Ít nhất trong trường hợp này, có một giải pháp tạm thời, và sẽ nhanh chóng có một bản sửa lỗi. Nhưng việc triển khai bản sửa lỗi thực tế sẽ mất thời gian đáng kể. Đó là bởi vì có thể không có cách nào tự động triển khai: vì các máy bị ảnh hưởng đã ngừng hoạt động, không có cách nào để tiếp cận chúng từ xa. Có vẻ rất nhiều như sẽ phải yêu cầu nhân viên IT trực tiếp đến từng máy tính bị ảnh hưởng (ngoại trừ máy ảo, nơi có thể lên đến 15 lần khởi động lại để giải quyết vấn đề).
Ngay cả giải pháp tạm thời cũng đòi hỏi phải khởi động các máy tính ở chế độ an toàn, và nhiều máy sẽ có cài đặt bảo mật của công ty khiến điều này không thể thực hiện được – một lần nữa, vì các rủi ro bảo mật khi bỏ qua các bảo vệ được thiết kế để chạy trong quá trình khởi động.
Máy Mac không bị ảnh hưởng vì Apple cung cấp khung bảo mật Endpoint Security của riêng mình.