Làm thế nào một bản cập nhật phần mềm có thể đánh sập một nửa Internet
Phần mềm an ninh mạng của CrowdStrike được tích hợp sâu vào hệ thống máy tính của nhiều tập đoàn. Điều này cũng đồng nghĩa nếu nó gặp trục trặc, hậu quả quy mô toàn cầu sẽ ập đến.
CrowdStrike, một công ty an ninh mạng, cung cấp dịch vụ cho các công ty trên khắp thế giới. Ảnh: Bloomberg.
Đằng sau một sự cố máy tính chưa từng có, khiến các chuyến bay phải dừng hoạt động, thị trường đảo lộn và các tập đoàn trên khắp thế giới bị gián đoạn là một công ty an ninh mạng: CrowdStrike.
Phần mềm được hầu hết tập đoàn lớn trên thế giới sử dụng
Là một nhà cung cấp phần mềm chống virus, bảo vệ các doanh nghiệp khỏi các cuộc tấn công của ransomware, CrowdStrike đã trở thành tâm điểm chú ý vào ngày 19/7.
Hãng đã phát hành một bản cập nhật lỗi, dẫn đến sự cố diện rộng, làm tê liệt hoạt động của loạt khách hàng từ ngân hàng, những gã khổng lồ bán lẻ cho đến các hệ thống chăm sóc sức khỏe.
Phản ứng của Phố Wall trước sự cố nghiêm trọng của CrowdStrike diễn ra rất nhanh chóng. Cổ phiếu của hãng đã giảm tới 15% trong phiên giao dịch cùng ngày tại New York, xóa sạch gần 8 tỷ USD giá trị thị trường.
CrowdStrike được thành lập bởi cựu giám đốc phần mềm chống virus McAfee trứ danh và ra mắt vào năm 2012. CrowdStrike đã phát triển thành cái tên hàng đầu mỗi khi nói về phần mềm bảo mật thế hệ mới. Hãng được coi là một trong những biện pháp bảo vệ tốt nhất, chống lại ransomware và các rủi ro hack khác.
Sự cố máy tính liên quan đến Microsoft và CrowdStrike đã gây ra tình trạng hỗn loạn tại các sân bay trên khắp thế giới. Ảnh: Shutterstock, New York Times.
CrowdStrike từng được dùng để điều tra vụ hack Sony Pictures vào năm 2014, dẫn đến việc tiết lộ loạt dữ liệu bí mật từ hãng phim. Phần mềm còn xuất hiện khi điều tra vụ hack Ủy ban Quốc gia Đảng Dân chủ vào năm 2016, làm lộ email của Hillary Clinton... CrowdStrike phục vụ khoảng 29.000 khách hàng và có doanh thu hàng năm khoảng 4 tỷ USD.
Các nhà cung cấp nền tảng đám mây lớn hợp tác với CrowdStrike bao gồm Microsoft Azure, Google Cloud của Alphabet và Amazon Web Services.
Theo công ty nghiên cứu thị trường IDC, công ty này kiểm soát 18% trong thị trường phần mềm bảo mật điểm cuối (endpoint protection) trị giá 12,6 tỷ USD. Hãng chỉ đứng sau đối thủ Microsoft với thị phần 25,8%. Endpoint protection cung cấp các giải pháp bảo mật được quản lý tập trung nhằm bảo vệ các điểm cuối như máy chủ, máy trạm và thiết bị di động kết nối với mạng doanh nghiệp.
Con dao 2 lưỡi của phần mềm an ninh
Theo Bloomberg, loại phần mềm mà CrowdStrike cung cấp khác biệt với các phần mềm bảo mật cũ. Phần mềm chống virus kiểu truyền thống tỏ ra rất hữu ích trong thời khai sinh của máy tính và Internet, nhờ khả năng truy lùng các dấu hiệu của phần mềm độc hại. Tuy nhiên, chúng không còn được ưa chuộng khi các cuộc tấn công ngày càng tinh vi.
Giờ đây, các phần mềm “phát hiện và phản hồi các mối nguy hại điểm cuối” (Endpoint Detection & Response - EDR) mà CrowdStrike phát triển có nhiều tiềm năng hơn. Chúng liên tục quét máy tính để tìm tất cả dấu hiệu hoạt động đáng ngờ và tự động phản hồi.
Nhưng để làm được điều này, các chương trình này phải được cấp quyền truy cập, đi sâu vào bên trong hệ điều hành máy tính, tìm các lỗi bảo mật. Quyền truy cập này chính là con dao 2 lưỡi, bởi nó cũng có thể phá hỏng chính những hệ thống đang được bảo vệ. Đây cũng chính là cách hệ thống Windows của Microsoft đồng loạt sập diện rộng vào ngày 19/7.
Đại diện của CrowdStrike đã xác nhận rằng một bản cập nhật phần mềm đã đánh sập hàng triệu máy tính Windows của các công ty và chính phủ trên khắp thế giới, gây ra “màn hình xanh chết chóc” đầy ám ảnh.
Công ty cho rằng sự cố này là do “lỗi xuất hiện trong bản cập nhật dành cho máy chủ Windows”. CrowdStrike cũng khẳng định sự cố không phải do tấn công mạng hay vi phạm an ninh.
Microsoft cho biết nguyên nhân cơ bản gây ra sự cố toàn cầu đã được khắc phục, trong khi CrowdStrike cũng khẳng định lỗi đã được xác định và bản sửa lỗi đã được triển khai. Ảnh: Wired.
Các chuyên gia an ninh mạng cho rằng công nghệ của CrowdStrike là một cách hiệu quả để chống lại phần mềm tống tiền. Nhưng vì chi phí cao, có thể lên tới hơn 50 USD mỗi máy, nên phần mềm này không thể cài đặt trên tất cả thiết bị của các tổ chức.
Tuy nhiên, điều đó cũng có nghĩa là các máy tính được cài đặt phần mềm là những máy tính quan trọng nhất, cần được bảo vệ. Nếu chúng gặp sự cố, các dịch vụ trọng yếu sẽ bị ảnh hưởng theo.
Theo Bloomberg, quá trình khắc phục hậu quả tốn nhiều công sức như thế nào sẽ tùy thuộc vào việc CrowdStrike có thể tự động chạy bản sửa lỗi hay không. Hay liệu mọi máy cần phải khởi động lại theo cách thủ công.
Trả lời phỏng vấn với CNBC, CEO CrowdStrike George Kurtz cho biết công ty đang tìm cách tự động hóa các bước, bởi một số khách hàng đang gặp khó khăn với các bản sửa lỗi thủ công.
Điều này có nghĩa là các tổ chức bị ảnh hưởng - từ ngân hàng, sàn giao dịch đến sân bay - có thể mất nhiều ngày để trực tuyến trở lại hoàn toàn, theo Alan Woodward, giáo sư an ninh mạng tại Đại học Surrey. “Để sử dụng laptop, họ sẽ phải can thiệp thủ công. Công việc này đòi hỏi rất nhiều công sức,” Woodward nói trong một cuộc phỏng vấn với Bloomberg.
“CrowdStrike nhằm mục đích giữ an toàn cho những hệ thống máy móc này. Nhưng việc đánh sập cả hệ thống lại là điều mà ransomware sẽ làm. Hãy tưởng tượng ransomware đồng thời tấn công các tổ chức lớn nhất trên thế giới như cảng, bệnh viện, nhà ga… Tất cả đều bị tấn công cùng một lúc chỉ vì một tập tin nhỏ này. Hậu quả kinh tế sẽ rất khổng lồ”, vị giáo sư kết luận
