A un año del evento Crowdstrike de 2024

Hace un año, el 18 de  julio de 2024,  me tocó atender los efectos de la publicación por Crowdstrike de una actualización de seguridad de su producto Falcon que dejó inoperantes a los equipos Windows que hacían uso de esta conocida herramienta.

En conmemoración del evento, Crowdstrike publicó las mejoras que ha realizado desde el incidente. Estas mejoras se pueden resumir en:

1. Brindándole a los clientes la capacidad de definir y controlar el proceso de instalación de las actualizaciones y configuraciones.
2. Definición e implementación de una estrategia empresarial de resiliencia llamada «Resilient by Design» (Resiliencia por Diseño), que se anclan en tres pilares: fundacional, adaptativo y continuo.
3. Seguridad del sensor y las actualizaciones de configuración dándole al sensor (el programa que corre en los equipos para dar capacidades de protección) la capacidad de auto-recuperación ante pantallas azul de la muerte y la creación de un Kit de Herramientas de Remediación del Sistema del Sensor.
4. Establecimiento de un nuevo sistema de distribución de contenido (CDS), que utiliza un modelo de despliegue automatizado basado en anillos de actualización lo que le permite a Crowdstrike probar mejor las actualizaciones antes que lleguen al 100% de su base instalada.

Todo parece indicar que Crowdstrike está haciendo los ajustes necesarios para que esto no vuelva a suceder. 

Ahora bien, tal cual lo comenté en mi artículo sobre el incidente del año pasado, debemos aprovechar la oportunidad de aprender de este evento independientemente de que si lo sufriste o no.

Las fallas tecnológicas que den como resultado que tus sistemas se vuelvan inoperantes es algo para lo cual toda empresa debe estar preparada desde el punto de vista operativo (plan de continuidad de negocios) y desde el punto de vista tecnológico (plan de recuperación de desastres tecnológicos).

Acciones a tomar de inmediato:

1. Prepara un listado de los paquetes de software como el anvirus/EDR forma parte de tu estándar corporativo.
2. Para cada paquete de software, identifica el proceso de actualización. Asegúrate de evitar actualizaciones de versiones o configuraciones que puedan afectar a todos los equipos simultáneamente.
3. Realiza un ejercicio de simulacro de escritorio (tabletop exercise) del plan de recuperación ante desastres tecnológicos.
4. Planifica la ejecución de una prueba del plan de continuidad del negocio donde el negocio valida los procesos y herramientas para trabajar sin herramientas tecnológicas.

Espero que la información compartida sea de tu aprovechamiento en el esfuerzo continuo de mantener tu empresa preparada para este tipo de situaciones.