CrowdStrike раскрывает причины IT-катастрофы
Согласно предварительному отчёту по следам инцидента от CrowdStrike, приз за находчивость уходит тем, кто предположил, что дефектное обновление не было достаточно протестировано и подвела автоматизация.
Апдейт, положивший системы, прошёл только автоматическое тестирование и не был проверен локально на устройствах, что мгновенно выявило бы проблему. А затем из-за бага валидатор контента пропустил кривое обновление в прод. Дополнительных проверок не проводили, так как после недавних тестов и деплоя таких обновлений проблем не было. Что касается содержимого апдейта, речь шла об обнаружении вредоносных именованных каналов в С2-фреймворках. Исследователи предположили, что речь про новые фичи Cobalt Strike в релизе за пару дней до катастрофы. Иными словами, торопились с выпуском обновления под свежие угрозы и понадеялись на удачу. По итогам компания обещает ввести дополнительное тестирование, включая локальное. Увы, немного запоздало.