Microsoft Downtime: Riziko Cloudových Služeb (Chyba CrowdStrike a Útok DDoS na Microsoft Červenec 2024)
Červenec 2024 byl bouřlivý měsíc v softwarovém průmyslu. Zatímco prodejní argumenty společnosti Microsoft jsou hlasitější než kdy jindy, společnost čelila významné kritice kvůli výpadkům několika klíčových systémů. Tento měsíc došlo k několika incidentům ve společnosti Microsoft s dalekosáhlými důsledky. V tomto článku se podrobněji podíváme na dva hlavní incidenty: aktualizaci CrowdStrike a útok DDoS na Microsoft 365 a Azure.
Chybná Aktualizace CrowdStrike
V červenci 2024 došlo k rozsáhlému výpadku v důsledku chybné softwarové aktualizace senzoru Falcon společnosti CrowdStrike. Tato aktualizace, vydaná 19. července, zavedla kritickou chybu ve formě chybějící nulové kontroly v kódu. To způsobilo, že se systém pokusil získat přístup k neplatné paměťové adrese, což vedlo k proslulému "Blue Screen of Death" (BSOD) na milionech zařízení Microsoft Windows po celém světě. Globální komunita to považovala za skandál, protože taková aktualizace by měla být před implementací mnohem lépe testována.
Dopad Chybné Aktualizace CrowdStrike
Globální Výpadek
Výpadek měl globální dopad, způsobující kritické narušení obchodních operací, zdravotnických služeb, leteckých společností a dokonce i burz. Přibližně 85 milionů zařízení bylo ovlivněno aktualizací. Čas nasazení v 04:09 UTC zajistil, že výpadek zasáhl společnosti během jejich pracovní doby v Oceánii a Asii a brzy ráno v Evropě a Americe.
Finanční Škody
Specialista na pojištění výpadků cloudových služeb odhadl, že 500 největších amerických společností utrpělo téměř 54 miliard dolarů ztrát, z nichž pouze mezi 540 miliony a 108 miliardami dolarů bylo pojištěno. Těchto 500 amerických společností představuje jen malý zlomek celkového počtu zasažených společností, což ilustruje významný finanční dopad výpadku na společnosti po celém světě.
Specifické Důsledky pro Sektory
- Letecký Průmysl: Celosvětově bylo zrušeno 5 078 letů, což představuje 46 % plánovaných letů na tento den. Australské letecké společnosti jako Qantas, Virgin Australia a Jetstar byly silně zasaženy, stejně jako letiště ve městech jako Sydney, Melbourne a Brisbane.
- Zdravotnictví a Obchodní Operace: Kritické systémy v nemocnicích a dalších zdravotnických zařízeních byly narušeny, což vážně ovlivnilo poskytování služeb. Společnosti měly problémy s jejich IT infrastrukturou, což vedlo ke snížené produktivitě a provozním výzvám.
Pokusy o Obnovu po Aktualizaci CrowdStrike
- CrowdStrike: CrowdStrike uznal problém a vydal veřejné prohlášení spolu s obcházejícím řešením. Doporučili postiženým uživatelům ručně odstranit určité soubory z bezpečného režimu nebo z prostředí Windows Recovery.
- Microsoft: Microsoft spolupracoval s CrowdStrike a externími vývojáři na urychlení řešení. Nabízeli technické poradenství a podporu, aby uživatelům pomohli bezpečně obnovit jejich systémy. To zahrnovalo restartování postižených virtuálních strojů až 15krát a obnovení zálohy z před 18. července.
Obě doporučení byla náročná a nerealistická pro velké společnosti.
Útok DDoS na Microsoft 365 a Azure
Dne 30. července 2024 byl Microsoft zasažen rozsáhlým útokem Distributed Denial-of-Service (DDoS), který způsobil výpadky různých služeb Microsoft 365 a Azure po celém světě. Útok trval přibližně devět hodin a způsobil významné narušení služeb Microsoft Entra, Microsoft Purview, Azure App Services, Application Insights, Azure IoT Central a portálu Azure.
Podrobnosti o Útoku DDoS
Útočný Vektor
Útok DDoS cílil na aplikační vrstvu (Layer 7) modelu OSI, což znamená, že útok byl specificky zaměřen na narušení webových aplikačních služeb Microsoft. Útočníci použili různé techniky, jako jsou HTTP(S) záplavy, obcházení mezipaměti a útoky Slowloris, aby zahltili servery a narušili běžný provoz.
Útočníci
Microsoft identifikoval hrozebného aktéra jako Storm-1359, skupinu podezřelou z podpory Ruska a možná spojenou s hacktivistickou skupinou Anonymous Sudan. Tato skupina dříve prováděla útoky na organizace ve Švédsku, Nizozemsku, Austrálii a Německu. Jejich útoky využívají sbírku botnetů, pronajaté cloudové infrastruktury a otevřených proxy k provádění útoků.
Dopad Útoku DDoS na Microsoft 365 a Azure
Globální Výpadek
Útok měl globální dopad, uživatelé po celém světě hlásili problémy s přístupem ke svým službám Microsoft 365 a Azure. Dotčené služby zahrnovaly kritické obchodní aplikace, jako jsou Intune, Power BI a Power Platform, což vedlo k rozšířeným provozním narušením pro společnosti závislé na těchto službách.
Reakce Microsoftu
Počáteční reakce Microsoftu na útok se zdála zhoršovat dopad spíše než ho zmírnit. Chyba v implementaci jejich mechanismů ochrany DDoS způsobila, že obrany útok zesílily. To vedlo k dalším výpadkům a zpožděním. Microsoft nakonec provedl změny konfigurace sítě a přepnutí na alternativní síťové trasy, aby poskytl úlevu. Více o tom, jak zlepšit bezpečnost vaší společnosti, si můžete přečíst dále v tomto článku.
Pokusy o Obnovu po Útoku DDoS
Technická Řešení
Aby se zabránilo dalším narušením, Microsoft upravil nastavení svého firewallu webových aplikací Azure (WAF). Doporučili také zákazníkům zavést geografická omezení, aby omezili příchozí provoz a minimalizovali dopad budoucích útoků. Dále Microsoft potvrdil, že nebyly nalezeny důkazy o tom, že by během těchto útoků byla přístupná nebo kompromitovaná data zákazníků.
Výhled a Zlepšení
Microsoft oznámil, že do 72 hodin bude zveřejněna předběžná zpráva o incidentu (Preliminary Post-Incident Review PIR) a do dvou týdnů konečná zpráva o incidentu. Tyto zprávy budou obsahovat další podrobnosti a poučení získaná z výpadků v tomto týdnu. Microsoft pokračuje v hodnocení a zlepšování svých bezpečnostních mechanismů, aby snížil dopad takových útoků v budoucnu.
Závěr o Útocích DDoS
Útok DDoS na Microsoft 365 a Azure v červenci 2024 podtrhuje hrozbu kybernetických útoků na hlavní poskytovatele cloudových služeb. Incident zdůrazňuje význam bezpečnostních opatření a rychlých, účinných strategií reakce na minimalizaci dopadu takových útoků. Zkušenost Microsoftu ukazuje, že i největší technologické společnosti jsou zranitelné a musí neustále pracovat na posílení své obrany proti stále sofistikovanějším kybernetickým hrozbám. Ztratili jste důvěru v bezpečnostní záruky společnosti Microsoft, stejně jako mnozí jiní? Doporučujeme pokračovat s on-premise softwarem, aby byla zajištěna bezpečnost vaší společnosti a všech jejích dat. Prozkoumejte naši nabídku on-premise licencí, jako jsou Windows Server 2022, SQL Server 2022 a Office 2021.
Co Můžete Dělat proti Těmto Online Hrozbám a Nejistotám? Převezměte Kontrolu
Ve světle nedávných incidentů s CrowdStrike a útokem DDoS na Microsoft 365 a Azure roste diskuse o výhodách on-premise softwaru oproti cloudovým řešením. Zde je několik důvodů, proč by společnosti mohly zvážit převzetí kontroly volbou on-premise softwaru:
- Spravovatelnost a Kontrola
- S on-premise softwarem mají společnosti plnou kontrolu nad svým IT prostředím. To znamená, že nejsou závislé na externích dodavatelích pro aktualizace, bezpečnostní záplaty nebo opravy chyb. V případě chyby CrowdStrike z července 2024 potřebovaly dotčené společnosti fyzický přístup ke svým strojům po dobu několika dnů, aby chybu ručně opravily. Tento druh závislosti lze předejít s on-premise řešeními, kde mohou IT týmy přímo zasáhnout a rychleji reagovat na problémy.
- Bezpečnost a Ochrana Dat
- Útok DDoS na Microsoft 365 a Azure ukázal, jak zranitelné mohou být cloudové služby vůči kybernetickým útokům. On-premise systémy mohou být navrženy s konkrétními bezpečnostními protokoly přizpůsobenými jedinečným potřebám společnosti. Navíc lze citlivá data ukládat interně, čímž se snižuje riziko úniku dat v důsledku vnějších hrozeb.
- Spolehlivost a Dostupnost
- I když poskytovatelé cloudových služeb často zaručují vysokou dostupnost, incidenty jako útok DDoS mohou způsobit dlouhotrvající výpadky, což vede ke ztrátě produktivity a příjmů. On-premise systémy mohou být navrženy a udržovány redundantně, aby byla zajištěna kontinuita podnikání i během výpadků internetu nebo externích útoků.
- Přizpůsobení a Flexibilita
- On-premise software nabízí společnostem flexibilitu přizpůsobit svou IT infrastrukturu specifickým obchodním potřebám. Cloudová řešení jsou často standardizovaná a mohou klást omezení na přizpůsobení. Společnosti mohou optimalizovat své on-premise systémy pro lepší výkon a integraci s existujícími aplikacemi a procesy.
- Dlouhodobé Řízení Nákladů
- I když cloudová řešení často vypadají atraktivně díky nižším počátečním nákladům, opakované předplatné a dodatečné náklady na šířku pásma, úložiště a zabezpečení se mohou sčítat. On-premise řešení vyžadují vyšší počáteční investici, ale mohou být z dlouhodobého hlediska nákladově efektivnější, zejména pro velké podniky s významnými IT potřebami.
Závěr
Jistota on-premise softwaru a volba vlastní bezpečnosti činí Windows Server 2022 a SQL Server 2022 řešením pro obejití selhávající cloudové bezpečnosti. Mnoho společností objevuje nevýhody cloudových řešení a zjistí, že je těžké se vrátit k on-premise softwaru. Toto je chytrý tah Microsoftu, protože získávají více z měsíčních předplatných Azure, Microsoft 365 a dalších modelů pay-as-you-go/subscription. Pokud chcete stále experimentovat s cloudovými řešeními, důrazně doporučujeme zvážit předem neomylnou strategii odchodu z cloudu, aby vás nepřekvapilo, pokud se rozhodnete přejít na on-premise.