Sự mong manh của hệ thống bảo mật toàn cầu từ bản cập nhật của CrowdStrike
Sự cố CrowdStrike là lời cảnh tỉnh cho các công ty, chính phủ và ngành công nghệ.
Khi nhà cung cấp an ninh mạng CrowdStrike tung ra bản cập nhật cho dịch vụ Falcon của mình ngày 19/7, nó khiến hàng triệu máy tính trên toàn thế giới bị sập trong sự kiện được coi là "sự cố công nghệ thông tin lớn nhất lịch sử".
Hệ thống mạng ở nhiều tổ chức khác nhau trên toàn cầu bị hạ “knock-out" khiến nhiều người đặt câu hỏi: Tại sao chỉ một bản cập nhật lại khiến nhiều doanh nghiệp và cơ quan sụp đổ trong khoảng thời gian ngắn như vậy?
Sự mong manh của hệ thống CNTT
Thảm hoạ này xuất phát từ cách vận hành cơ sở hạ tầng Internet hiện tại.
Các trang web toàn cầu được hỗ trợ bởi một số ít tập đoàn lớn như Microsoft, Amazon và Google. Ngoài ra còn có những công ty nhỏ hơn nhưng không kém phần quan trọng, như CrowdStrike.
Các công ty này cắm phần mềm của họ vào nền tảng của những gã khổng lồ công nghệ nêu trên.
CrowdStrike cung cấp chương trình an ninh mạng cho Windows. Theo Reuters, CrowdStrike có khoảng 29.000 khách hàng tại 170 quốc gia và vùng lãnh thổ.
Rất nhiều tổ chức dựa vào Windows. Vì CrowdStrike đã trở thành thế lực lớn trong lĩnh vực an ninh mạng, rất nhiều doanh nghiệp, tổ chức tài chính và cơ quan chính phủ sử dụng nền tảng phần mềm của cả 2 công ty.
Đặc biệt phải kể đến lĩnh vực giao thông vận tải, chăm sóc sức khỏe, ngân hàng và các lĩnh vực thường đối mặt với nhiều rủi ro bị tấn công mạng.
Gregory Falco, giảng viên tại Đại học Cornell, cho biết: “Họ thường là những tổ chức sợ rủi ro, không muốn thứ gì đó quá sáng tạo nhưng có thể hoạt động tốt để bảo vệ họ khi có sự cố xảy ra. Đó chính là thứ CrowdStrike cung cấp".
"Họ nhìn xung quanh các tổ chức trong lĩnh vực khác và nghĩ rằng công ty này sử dụng nó, vậy thì chúng ta cũng dùng. Người ta luôn muốn có đa dạng nhà cung cấp nhưng rốt cuộc 'quyền lực' lại nằm trong tay một nhóm nhỏ".
Tin tặc liên tục tìm kiếm lỗ hổng trong hệ thống và các công ty an ninh mạng như CrowdStrike cũng liên tục phát hành bản cập nhật để giải quyết mọi lỗ hổng tiềm ẩn mà tin tặc có thể vượt qua.
Khi CrowdStrike phát hành bản cập nhật cho phần mềm, các công ty khách hàng sẽ áp dụng bản cập nhật sớm nhất có thể để đảm bảo hệ thống an toàn.
Và như tất cả đều biết, bản cập nhật vẫn có tỷ lệ lỗi vì thiếu thử nghiệm, kiểm tra nghiêm ngặt trước khi triển khai. Một mã lỗi trong các tệp cập nhật của ứng dụng Falcon đã dẫn đến sự cố kỹ thuật nghiêm trọng.
Ngay sau khi CrowdStrike tung ra bản cập nhật, các máy chủ dừng hoạt động, nhiều máy khách chạy hệ điều hành Microsoft Windows gặp sự cố "màn hình xanh chết chóc" (Blue Screen of Death - BSOD).
CrowdStrike phản ứng bằng cách phát hành bản sửa lỗi cho phần mềm của mình và gửi đến khách hàng. Nhưng điều đó không đồng nghĩa mọi công ty hoạt động trở lại ngay lập tức.
Việc khôi phục máy tính bị ảnh hưởng phải làm thủ công. Người quản trị viên cần gắn bàn phím vật lý vào mỗi hệ thống bị ảnh hưởng, khởi động vào chế độ an toàn (Safe Mode), xóa tập tin cập nhật CrowdStrike gặp lỗi, sau đó khởi động lại
Các quản trị viên công nghệ thông tin trên toàn thế giới đã làm việc suốt ngày đêm để khôi phục hoạt động của hệ thống.
Tuy nhiên, trừ khi các công ty Internet thay đổi đáng kể cách thức hoạt động, những chuyện như sự cố vừa qua không thể không tái diễn.
Bài học rút ra
Sự cố CrowdStrike sẽ là lời cảnh tỉnh cho các công ty, chính phủ và ngành công nghệ. Tất cả không nên quên những bài học này.
Điều quan trọng nhất là phải xây dựng quy tắc ngăn ngừa những sự cố tương tự. Do đó, cần có quá trình phân tích sau sự cố.
Nhà sáng lập Sherri Davidoff của LMG Security lưu ý: "Mỗi cuộc khủng hoảng là một cơ hội, khi mọi thứ lắng xuống, tất cả những người gây ảnh hưởng và bị ảnh hưởng đều phải tiến hành phân tích và rút kinh nghiệm từ sự kiện có tác động này”.
"Thảm hoạ kỹ thuật số" cũng nêu bật tầm quan trọng của sự hợp tác giữa các ngành, hợp tác công tư và nhu cầu phối hợp toàn cầu về sự cố mạng, bất kể do tội phạm mạng hay do lỗi của con người.
Có thể coi "Thảm hoạ kỹ thuật số" là động lực cho nhiều quy định an ninh mạng hơn, một bước ngoặt cho quản trị an ninh mạng và động lực cho những thay đổi với chính sách bảo hiểm mạng.
Tất cả có thể mong đợi nhà lập pháp và cơ quan quản lý toàn thế giới yêu cầu những tổ chức như Microsoft hay CrowdStrike thông báo trước về các bản cập nhật dịch vụ.
Dù CrowdStrike giải thích rằng nó không phải bản cập nhật phần mềm mà là bản cập nhật nội dung cho công cụ Falcon, có thể chẳng ai quan tâm đến sự khác biệt đó.
Tất cả chỉ có một thắc mắc: Bản cập nhật đã được kiểm tra trước khi đưa ra chưa?
Ngày 19/7, Microsoft thông báo về sự cố màn hình xanh khiến nhiều ngành nghề trên toàn cầu bị ảnh hưởng nghiêm trọng.
Sự cố diện rộng này liên quan đến bản cập nhật phần mềm mới của CrowdStrike, xảy ra do một tập tin lỗi gây xung đột khiến các máy tính chạy hệ điều hành Windows hiện thông báo màn hình xanh, không khởi động bình thường được.
Các hãng hàng không phải dừng hàng loạt chuyến bay, một số đài truyền hình ngừng phát sóng. Từ ngân hàng đến chăm sóc sức khỏe đều bị ảnh hưởng bởi vấn đề hệ thống máy tính.
Theo Skift, cho tới 17h cùng mềm, 1.390 chuyến bay đã bị hủy, hàng nghìn chuyến khác trễ vì sự cố này.
Tại Việt Nam, Vietjet Air thông báo về về sự cố trên fanpage của mình lúc hơn 15h ngày 19/7. Một số người dùng sau đó chia sẻ việc họ không check-in được