בכיר בקראודסטרייק מתנצל ואומר: "שינינו את אופן העדכונים"
אדם מאיירס, סגן נשיא בכיר בענקית האבטחה, הסביר בעדות בקונגרס על השבתת הענק והלקחים ממנה, והבהיר מה החברה שינתה בעקבותיה - ומה היא לא מתכוונת לשנות
קראודסטרייק ערכה שינוי משמעותי באופן שבו היא עורכת את עדכוני התוכנה שלה – כלקח מהשבתת הענק העולמית שאירעה ביולי השנה; כך אמר אדם מאיירס, סגן נשיא בכיר לתפעול מבצעים נגד איומים בענקית האבטחה. מאיירס התנצל כמה פעמים בעדות בקונגרס על ההשבתה, שגרמה לנזק עצום לארגונים ומגזרי תעשייה רבים.
בעדות שנתן שלשום (ג') בוועדת המשנה לביטחון המולדת של הקונגרס האמריקני שעוסקת באבטחת סייבר ותשתיות, תיאר מאיירס את הנסיבות סביב העדכון הפגום שגרם למה שמומחים תיארו כ-"השבתת ה-IT הגדולה בהיסטוריה".
במענה לשאלות המחוקקים, חברי הוועדה, שהתמקדו במניעת הישנות של השבתה מעין זו, הוא אמר כי "התקרית הביאה לשינוי משמעותי באופן שבו החברה בודקת ומפיצה עדכוני תוכן הקשורים לאיומים עבור פלטפורמת האבטחה שלה, פלקון. עדכון תוכנה פגום שכזה הביא ב-19 ביולי למצב המכונה 'המסך הכחול של המוות', שהשפיע על 8.5 מיליון מכשירים מבוססי Windows סביב העולם, ושיבש את הפעילות של מגזרי תעשייה שלמים למשך כמה ימים.
"כתוצאה מההשבתה", ציין, "אנחנו עורכים הרבה יותר פיקוח, עם ניראות, על ההשפעה של עדכוני התוכנה וכן על הדרכים שהעדכונים יוצאים לשוק". עדכוני תוכנה שכאלה נפרסים בקביעות – 10 עד 12 פעמים בכל יום – בתגובה לאיומים המתפתחים, הוסיף מאיירס.
"אנחנו מתייחסים כעת לעדכוני התוכן כמו אל קוד"
מאיירס אמר כי לפני התקרית, קראוד סטרייק התייחסה לעדכוני התוכנה הללו בצורה שונה משינויי קוד תוכנה, שמשפיעים על ליבת Windows. "עדכוני קוד שמשפיעים על הליבה" – ליבת הבקרה המרכזית של Windows – "תמיד עברו תהליך בדיקה קפדני ופריסה מדורגת כדי למנוע תרחישי השבתה", ציין.
עם זאת, כדי למנוע חזרה על קריסת Windows, שנבעה משינוי תצורה, "אנחנו מתייחסים כעת לעדכוני התוכן כמו אל קוד", אמר.
"ההשבתה – תוצאה של 'סערה מושלמת' של בעיות שהתאחדו"
מאיירס הסביר כי ההשבתה נגרמה בשל פגם בתהליך האימות של עדכוני תוכנת האבטחה. הבאג מנע ממתקף (מאמת) תוכן (Content Validator) של החברה להבחין בקובץ השגוי שנכלל בעדכון שנשלח.
הוא ציין ש-"התקרית בחודש יולי הייתה תוצאה של 'סערה מושלמת' של בעיות שהתאחדו וגרמו להשבתה. אין ספק שטעינו במקרה זה… אנחנו לומדים ממה שקרה, ויישמנו שינויים – כדי להבטיח שזה לא יישנה".
האם עדכוני תוכנה תכופים זה דבר חשוב או לא בטוח?
במהלך הדיון עלה היבט תדירות העדכונים: אנדרו גרברינו הרפובליקני, יו"ר ועדת המשנה, הטיל ספק בקצב של עדכוני התוכנה. הוא ציטט הערות של חברות מתחרות של קראודסטרייק, בלא ציון שמן, שלפיהן תדירות עדכוני התוכנה היא חריגה בתעשיית האבטחה, ובסופו של דבר – איננה בטוחה. מאיירס השיב כי "אין לנו תוכניות להאט את קצב עדכוני התוכנה שאנחנו פורסים. נמשיך לעדכן את המוצר שלנו במידע על איומים בתדירות גבוהה, ככל שנידרש. זאת, על מנת להקדים ולהתמודד עם האיומים".
מאיירס אמר כי "המהירות כן חשובה בתחום הזה, כדי להקדים את גורמי האיום מכמה היבטים: הניראות שמקבלים דרך הליבה; הביצועים שמושגים באמצעות השימוש בליבה; היכולת לעצור 'דברים רעים'; ומנגנון האכיפה שמסופק דרך הליבה. כל אלה הם גורמים מכריעים בעצירת האיום".
תגובות
(0)