CrowdStrike: l’illusione e il rischio del “too big to fail”

Il CrowdStrike Falcon Sensor è un software di sicurezza avanzato progettato per proteggere i sistemi informatici da eventuali minacce. 

Il 19 luglio scorso, un aggiornamento del sensore Falcon di CrowStrike ha causato gravi problemi per gli utenti di Windows a livello globale, introducendo un file difettoso (csagent.sys) che ha causato crash di sistema e BSOD (blue screen of death – schermata blu di windows) su milioni di dispositivi Windows. 
Il problema ha colpito vari settori, tra cui aeroporti, banche, ospedali e aziende, causando interruzioni significative delle operazioni quotidiane. 

L’incidente con l’aggiornamento del sensore Falcon di CrowdStrike ha sottolineato l’importanza di una gestione attenta e sicura degli aggiornamenti software. Questo episodio ha messo in luce diverse criticità e ha evidenziato alcuni punti chiave che le aziende devono considerare per proteggere le proprie operazioni.

L’importanza dei test sugli aggiornamenti software

Di norma ci aspettiamo che ogni aggiornamento software venga rigorosamente testato in un ambiente di prova, se deve essere distribuito su larga scala.
I test approfonditi aiutano a identificare eventuali problemi e a prevenire interruzioni nelle operazioni aziendali. Un processo strutturato per la gestione degli aggiornamenti, con controlli rigorosi, riduce il rischio di introdurre vulnerabilità o causare malfunzionamenti.
L’incidente di CrowdStrike ha dimostrato che, eseguendo correttamente i test, si sarebbe potuto individuare e correggere il problema del file difettoso (csagent.sys) prima del rilascio.

Un aggiornamento mal gestito ha causato un crash di sistema globale, dimostrando la necessità dei processi di testing e di renderli più rigorosi e affidabili.

La business continuity

Ogni organizzazione deve contare su un proprio piano di business continuity efficace e testato regolarmente, che preveda scenari di crisi e strategie di risposta rapide. In questo caso specifico, i piani di business continuity se esistenti, si sono rilevati inefficaci, perché nessuna organizzazione vittima era preparata ad affrontare un problema simile.
La domanda da porsi è se una tale minaccia potesse essere prevista. Forse sì, ma probabilmente era in fondo alla lista delle priorità.

La necessità di personale tecnico 

Un altro punto critico è stato il bisogno di personale in loco tecnico per risolvere un problema relativamente semplice in tempi molto rapidi. 
Prendiamo come esempio concreto gli aeroporti.
Per ripristinare l’operatività e far imbarcare passeggeri ed equipaggio, sarebbe bastato solo cancellare il file difettoso. Per fare questo, sarebbe stato utile avere tecnici disponibili immediatamente.
Se i dispositivi colpiti avessero avuto anche i dischi cifrati con BitLocker, i tecnici avrebbero dovuto recuperare la chiave di sblocco di ogni dispositivo per poter intervenire.
Con un totale di 8,5 milioni di PC colpiti, e ipotizzando che ogni tecnico potesse sbloccarne circa 100, con tempo medio di lavorazione di 10 minuti a computer, sarebbero stati necessari circa 85.000 tecnici disponibili subito.
Mettere a disposizione un numero così elevato di tecnici in tempi rapidi, è una sfida enorme, ed evidenzia la mancanza di preparazione e la necessità di piani di continuità operativa ben strutturati.

La complessità della supply chain informatica

Windows è il sistema operativo più utilizzato al mondo, sviluppa gran parte del proprio software internamente e, per integrare e migliorare funzionalità e sicurezza, molte aziende si affidano anche a soluzioni di terze parti.
Un approccio di questo tipo, sebbene offra flessibilità e accesso a tecnologie avanzate, introduce rischi aggiuntivi:

• Supply chain lunga e complessa: La catena di fornitura tecnologica con molti anelli intermedi, rende difficile mantenere il controllo e la sicurezza lungo tutta la distribuzione. Questo aumenta i costi di controllo e rende complicato monitorare efficacemente i fornitori. La mancanza di trasparenza e la difficoltà nel controllo dei fornitori sono problemi significativi.
• Dipendenza da terze parti: Affidarsi in buona parte a software e servizi esterni, può esporre le aziende a vulnerabilità non direttamente sotto il loro controllo.
• Ritardi nelle risposte: Le vulnerabilità introdotte da terze parti possono richiedere tempi di risposta più lunghi per essere risolte, poiché le aziende devono coordinarsi con i tutti i vari fornitori della catena.

Al contrario, i fornitori di servizi IT che sviluppano e gestiscono internamente tutte le loro soluzioni—operando in un sistema più circoscritto— godono di un maggiore controllo sul proprio ambiente.
Questo riduce i rischi legati agli aggiornamenti di terze parti e garantisce una maggiore stabilità e sicurezza complessiva. 
Questi tipi di sistemi, per loro natura, hanno meno punti di vulnerabilità e sono meno suscettibili a fallimenti sistemici di terze parti.
Per le aziende, soprattutto quelle che gestiscono operazioni critiche, affidarsi a fornitori che offrono soluzioni end-to-end interne potrebbe garantire maggiore affidabilità e sicurezza operativa.

La fiducia cieca nelle Big Tech.
Ma davvero sono“too big to fail”?

Spesso si tende a considerare la tecnologia delle grandi aziende come infallibile e senza necessità di controlli esterni, cosa che può portare a una mancanza di vigilanza di terze parti. 
Le grandi aziende tecnologiche affermano di autoregolarsi e ci chiedono semplicemente di fidarsi delle loro affermazioni; questo incidente dimostra che non sempre ciò è sufficiente. 
Sarebbe necessario un maggiore controllo esterno e una vigilanza indipendente per garantire la sicurezza e l’affidabilità delle soluzioni tecnologiche.

La tecnologia proveniente dalle mani delle grandi aziende informatiche viene spesso considerata come un dogma, quasi obbligando utenti e aziende a fidarsi ciecamente. 

Tale fiducia implica accettare le soluzioni delle Big Tech senza metterle in discussione, basandosi sull’idea che le loro dimensioni e risorse siano garanzia di qualità e affidabilità.