Dua pelajaran penting dari penghentian CrowdStrike

Gangguan TI yang meluas pada tanggal 19 Juli, yang disebabkan oleh pembaruan bermasalah dari perusahaan keamanan siber CrowdStrike, mengakibatkan penundaan penerbangan, gangguan penyiaran berita, dan layar biru kematian pada PC dari semua jenis perusahaan. Bank menangani sendiri masalah mereka. Sementara dampaknya “tersebar,” menurut juru bicara Pusat Analisis dan Pembagian Informasi Layanan Keuangan, beberapa bank mengalami kesulitan selama beberapa jam untuk pulih.

Dampaknya sangat menyakitkan bagi CrowdStrike: Pengacara mulai mendekati penggugat untuk melakukan gugatan class action terhadap perusahaan, penumpang Delta telah mengajukan gugatan terhadap maskapai tersebut atas kehancurannya dan maskapai tersebut telah bertukar sindiran secara terbuka dengan CrowdStrike tentang siapa yang bertanggung jawab.

Sementara itu, CrowdStrike telah merilis secara publik laporan yang semakin rinci tentang apa yang menyebabkan kegagalan Channel File 291 — yang dinamai berdasarkan file tertentu yang menyertakan kesalahan konfigurasi yang menyebabkan jutaan sistem Windows mogok. Minggu lalu, perusahaan tersebut merilis apa yang disebut “Analisis Akar Penyebab,” yang mencakup enam temuan dari tinjauan internal perusahaan dan mengungkapkan bahwa CrowdStrike telah memulai tinjauan independen terhadap proses jaminan kualitasnya.

Di antara temuan tersebut terdapat informasi baru tentang kesalahan logika yang menyebabkan crash. Menurut analisis, pembaruan yang bermasalah pada Channel File 291 adalah yang pertama kali menyertakan 21 parameter, atau pengaturan yang mengonfigurasi cara kerja perangkat lunak deteksi ancaman. Sementara perangkat lunak Windows dimaksudkan untuk menangani 21 parameter, perangkat lunak tersebut secara keliru diprogram untuk hanya menangani 20 parameter — tampaknya karena penggunaan parameter ke-21 sangat jarang.

Walaupun skenario dengan Channel File 291 ini sekarang tidak dapat terulang lagi, hal itu juga menginformasikan perbaikan proses dan langkah-langkah mitigasi yang diterapkan CrowdStrike guna memastikan ketahanan yang lebih ditingkatkan,” demikian bunyi analisis CrowdStrike.

Para ahli telah menerbitkan laporan mereka sendiri tentang masalah ini, termasuk kelompok konsultan Forrester, yang menawarkan pelajaran dari insiden tersebut di luar sekadar penyebabnya, termasuk pemeriksaan tentang apa yang perlu dilakukan perusahaan untuk memastikan mereka dapat pulih dari bencana TI.

Berikut adalah dua temuan teratas dari retrospektif CrowdStrike dan Forrester.

Pertimbangkan dengan cermat perlindungan data versus pemulihan

Salah satu faktor yang paling memperburuk insiden 19 Juli adalah ketika petugas TI hendak memulihkan komputer Windows mereka yang mogok, mereka dihadapkan dengan permintaan kunci pemulihan BitLocker dan kenyataan yang mengganggu bahwa mereka tidak yakin di mana kunci tersebut berada, atau bahwa sistem yang menyimpan kunci tersebut juga telah mogok.

Sebagai analis Forrester menulis dalam laporan mereka tentang pelajaran dari insiden 19 Juli, “CrowdStrike menempatkan organisasi dalam posisi ini, tetapi BitLocker membuat mereka tetap di sana.”

BitLocker adalah fitur Microsoft Windows yang menyediakan enkripsi bagi komputer untuk mengurangi ancaman pencurian data dari perangkat yang hilang, dicuri, atau dinonaktifkan secara tidak semestinya. Seperti banyak bentuk enkripsi lainnya, BitLocker menambahkan perlindungan tetapi menciptakan masalah baru terkait apa yang harus dilakukan dengan kunci tersebut, seperti mencari tahu apa yang harus dilakukan dengan kata sandi yang baru dibuat.

Dalam kasus pemadaman pada tanggal 19 Juli, CrowdStrike menawarkan solusi untuk mengakses disk Windows bahkan dalam kasus di mana kunci pemulihan BitLocker hilang. Sementara solusi sementara membantu upaya pemulihan, solusi itu juga merusak fitur BitLocker, yang bertujuan untuk membuat data tidak dapat diakses oleh siapa pun yang tidak memiliki kuncinya. Sebelum bulan lalu, yang lain bahkan telah mendokumentasikan cara mendapatkan kunci BitLocker langsung dari perangkat Windows.

Dengan kata lain, BitLocker mungkin tidak menjalankan fungsi perlindungan sebagaimana diharapkan pengguna.

Selain itu, insiden pada 19 Juli juga menunjukkan bahwa fitur tersebut dapat sangat menghambat upaya pemulihan. Bahkan tanpa penghalang tambahan ini, pemulihan tidak selalu semudah yang terlihat karena dapat menjadi upaya yang sangat manual, menurut laporan Forrester.

“Organisasi belajar dari kejadian ransomware bahwa sekadar ‘mengembalikan cadangan’ terdengar hebat, tetapi dalam praktiknya membutuhkan waktu lebih lama dari yang diharapkan,” tulis laporan tersebut. “Kejadian ini mengajarkan mereka pelajaran yang sama dan dalam banyak kasus memerlukan intervensi keyboard secara langsung.”

Laporan Forrester tidak memberikan petunjuk tentang apakah BitLocker perlu diterapkan, melainkan menyarankan perusahaan untuk mempertimbangkan keuntungan perlindungan data dari fitur tersebut dibandingkan dengan keterbatasannya dan dampak negatifnya pada waktu pemulihan. Pemulihan otomatis dan fail-over (memutar sistem cadangan saat sistem utama gagal) dapat membantu meningkatkan ketahanan terhadap kejadian seperti insiden CrowdStrike.

Lakukan kontrol atas pembaruan otomatis

Salah satu perubahan utama yang dilakukan CrowdStrike setelah 19 Juli adalah bahwa pelanggan kini dapat mengatur kapan dan di mana pembaruan “Konten Respons Cepat” akan disebarkan. Dengan kata lain, pelanggan kini dapat mengatur waktu tunda untuk seberapa cepat sistem mereka diperbarui.

Konten Respons Cepat adalah jenis konten yang memungkinkan CrowdStrike memperbarui komputer pelanggan dengan cepat dengan intelijen ancaman baru, agar komputer dapat merespons ancaman baru dengan cepat. Ini adalah salah satu fitur pembeda mendasar bagi CrowdStrike, yang memungkinkan perusahaan untuk menghentikan ancaman siber baru di semua pelanggannya dalam hitungan jam.

Namun, fitur tersebut juga memungkinkan perusahaan tersebut secara tidak sengaja membuat banyak komputer pelanggannya mogok.

Idealnya, perusahaan dapat mempercayai bahwa setiap pembaruan otomatis yang diterimanya adalah aman, sehingga perusahaan dapat melindungi dirinya dari ancaman baru tanpa penundaan. Namun, karena masalah terkadang muncul dalam pembaruan otomatis, menambahkan sedikit penundaan dapat memberi perusahaan waktu untuk melihat bagaimana pembaruan otomatis memengaruhi yang lain.

Pelanggan CrowdStrike kini memiliki kemampuan untuk menambahkan penundaan seperti itu pada pembaruan perusahaan. Perusahaan tersebut mengatakan dalam analisis akar penyebabnya bahwa salah satu perubahan yang telah diterapkan adalah memungkinkan pelanggan untuk memilih di mana dan seberapa cepat sistem mereka dilindungi dari ancaman siber baru — dan ancaman pembaruan yang bermasalah.

Meski begitu, analis Forrester menghimbau pengguna CrowdStrike — dan semua pengguna perangkat lunak yang menerima pembaruan otomatis — untuk berhati-hati saat membatasi pembaruan ini.

“Pembaruan otomatis telah ada selama bertahun-tahun,” demikian bunyi laporan Forrester. “Pembaruan otomatis telah menghemat waktu administratif dan uang yang signifikan bagi industri.”

Sementara para analis mengakui bahwa insiden seperti yang terjadi pada tanggal 19 Juli mungkin terulang, kemungkinan pembaruan otomatis apa pun yang memicu kejadian semacam itu rendah.

“Anda perlu mengendalikannya, tetapi jangan berlebihan,” saran laporan itu.’