CrowdStrike는 지난주에 850만 대의 Windows 시스템을 중단시킨 버그 업데이트에 대한 사후 사고 리뷰를 발표했습니다.자세한 게시물은 버그를 비난합니다금요일에 수백만 대의 컴퓨터에 푸시된 콘텐츠 업데이트를 제대로 검증하지 않은 테스트 소프트웨어에서.CrowdStrike는 콘텐츠 업데이트를 더욱 철저하게 테스트하고, 오류 처리를 개선하며, 이러한 재난이 반복되지 않도록 시차 배치를 구현할 것을 약속합니다.

CrowdStrike의 Falcon 소프트웨어는 전 세계 기업에서 수백만 대의 Windows 시스템에 대한 맬웨어 및 보안 위반을 관리하는 데 사용됩니다.금요일에 CrowdStrike는 '가능한 새로운 위협 기술에 대한 원격 측정을 수집'하는 소프트웨어에 대한 콘텐츠 구성 업데이트를 발표했습니다. 이러한 업데이트는 정기적으로 제공되지만 이 특정 구성 업데이트로 인해 Windows가 중단되었습니다.

CrowdStrike는 일반적으로 두 가지 방법으로 구성 업데이트를 발행합니다.Windows의 커널 수준에서 실행되는 CrowdStrike 자체 Falcon 센서를 직접 업데이트하는 센서 콘텐츠라는 것이 있고, 별도로 해당 센서가 맬웨어를 탐지하기 위해 작동하는 방식을 업데이트하는 신속 응답 콘텐츠가 있습니다.금요일의 문제는 40KB의 작은 Rapid Response 콘텐츠 파일로 인해 발생했습니다.

실제 센서에 대한 업데이트는 클라우드에서 제공되지 않으며 일반적으로 CrowdStrike가 장기적으로 감지 기능을 향상시킬 수 있는 AI 및 기계 학습 모델을 포함합니다.이러한 기능 중 일부에는 새로운 탐지를 가능하게 하고 금요일에 전달된 별도의 빠른 응답 콘텐츠 유형으로 구성되는 코드인 템플릿 유형이라는 것이 포함됩니다.

클라우드 측에서 CrowdStrike는 금요일과 같은 사고가 발생하지 않도록 콘텐츠가 출시되기 전에 콘텐츠에 대한 유효성 검사를 수행하는 자체 시스템을 관리합니다.CrowdStrike는 지난 주에 두 가지 Rapid Response 콘텐츠 업데이트(템플릿 인스턴스라고도 함)를 출시했습니다.CrowdStrike는 콘텐츠 유효성 검사기의 버그로 인해 문제가 있는 콘텐츠 데이터가 포함되어 있음에도 불구하고 두 템플릿 인스턴스 중 하나가 유효성 검사를 통과했다고 밝혔습니다.

CrowdStrike는 센서 콘텐츠 및 템플릿 유형에 대해 자동 및 수동 테스트를 모두 수행하지만, 금요일에 제공된 신속 응답 콘텐츠에 대해서는 그만큼 철저한 테스트를 수행하지 않는 것으로 보입니다.새로운 템플릿 유형의 3월 배포는 콘텐츠 유효성 검사기에서 수행되는 검사에 대한 신뢰를 제공하므로 CrowdStrike는 신속한 응답 콘텐츠 롤아웃이 문제를 일으키지 않을 것이라고 가정한 것으로 보입니다.

이러한 가정으로 인해 센서는 문제가 있는 신속 응답 콘텐츠를 콘텐츠 해석기에 로드하고 범위를 벗어난 메모리 예외를 트리거했습니다....이 예상치 못한 예외는 정상적으로 처리되지 않아 Windows 운영 체제 충돌(BSOD)이 발생한다고 CrowdStrike는 설명합니다.

이러한 일이 다시 발생하지 않도록 CrowdStrike는 스트레스 테스트, 퍼징 및 결함 주입과 함께 로컬 개발자 테스트, 콘텐츠 업데이트 및 롤백 테스트를 사용하여 신속 응답 콘텐츠 테스트를 개선할 것을 약속합니다.CrowdStrike는 Rapid Response 콘텐츠에 대한 안정성 테스트와 콘텐츠 인터페이스 테스트도 수행합니다.

CrowdStrike는 또한 Rapid Response 콘텐츠 릴리스를 더 잘 확인하기 위해 클라우드 기반 콘텐츠 유효성 검사기를 업데이트하고 있습니다.CrowdStrike는 이러한 유형의 문제가 있는 콘텐츠가 향후 배포되지 않도록 보호하기 위한 새로운 검사가 진행 중이라고 밝혔습니다.

운전자 측에서 CrowdStrike는 Falcon 센서의 일부인 콘텐츠 해석기의 기존 오류 처리를 강화합니다.CrowdStrike는 또한 신속 응답 콘텐츠의 시차적 배포를 구현하여 업데이트가 모든 시스템에 즉시 적용되는 대신 설치 기반의 더 큰 부분에 점진적으로 배포되도록 할 것입니다.드라이버 개선과 시차적 배포가 모두 이루어졌습니다.보안 전문가가 권장하는최근에는.