Cet incident est dû à une présence d’une vulnérabilité zéro day dans l’agent Crowdstrike. Ce qui a poussé Microsoft à déployer sans passer par les étapes nécessaires et obligations de validation ce patch.
Malheureusement ce patch a provoqué un bleue screen dans tous les environnements Windows.
Comme les systèmes ne sont pas conçus de manière résiliente on a l’incident en cours.
Il y a un cert un workaound manuel mais le faire sur des millions de serveurs et postes Windows n’est pas une solution pratique.
Au Maroc on doit réfléchir à une architecture résiliente et indépendante des fournisseurs de solutions anti-malware appelé à tort EDR.
Ce problème de résilience nécessite une conception dès la construction et non pas après un incident comme celui-ci.
Conseils :
To avoid the Crowdstrike patch incident here in the CISSP analogy for Crowdstrike BSOD:
- Domain 1 – Managing third party risks. Did you even consider the risk of a kernel level interaction of Falcon Agent with OS. Any BCP in place.
- Domain 2 – Asset Owners. Did they know if some catastrophe happens how to manage it. Did this failure weaken their systems.
- Domain 3 – The TCB shut down the system due to a dirty read by falcon agent. Fail safe mode.
- Domain 4 – Systems dependencies on Communication systems and their outage.
- Domain 5- Azure services went down. IAM failed due to a resiliency poor design.
- Domain 6 – Most important. Use case and misuse case testing
- Domain 7 – very important. Continued operations
- Domain 8 – Most important. Crowdstrike SDLC
- Note we must design IT an/or OT for Resiliency.
Resiliency means that the target continues to deliver the service even if it’s under attack or malfunction.
The design for resiliency is a part of Secure Architectures Design.
What happened on Friday 19th, July is a resiliency poor design and a non respect of patch testing and qualifications process, and more.
More will be published later…
==============================================================
ANNEXE: Dossier spécial
Sur le Bug technologique global du 19 juillet 2024, qui a déclenché des défaillances dans les services de sécurité de CrowdStrike et Microsoft :
SmiaTECH.com a suivi ce et ses effets sur les systèmes d’information à travers le Monde auprès des experts de l’Apebi (fédération des Technologies de l’Information et de l’Offshoring) Lien des articles et interview du Dossier Spécial: https://smiatech.com/2024/07/25/dossier-special/
