En la madrugada del viernes 19 de julio, una actualización del producto CrowdStrike Falcon Sensor provocó una interrupción mundial en los equipos Windows. Los equipos de bancos, cadenas de televisión, aerolíneas, hospitales y muchas otras empresas mostraron de repente la temida «pantalla azul de la muerte» después de que CrowdStrike enviara a sus usuarios lo que, según la empresa, era una actualización de contenido defectuosa.
El incidente no fue un ciberataque ni tuvo carácter malicioso en modo alguno. Se trató de un código defectuoso en una actualización habitual del producto. Este es un ejemplo perfecto de por qué es necesario evaluar continuamente las prácticas de resiliencia empresarial de sus terceros y comprender la exposición al riesgo de terceros en su universo de proveedores cuando se producen interrupciones generalizadas como esta.
El incidente de CrowdStrike y por qué es importante
CrowdStrike publica regularmente actualizaciones de contenido para sus productos Falcon Sensor con el fin de garantizar que protejan contra los ciberataques más recientes. Todos los informes apuntan a que la actualización forma parte de ese ciclo de implementación.
Sin embargo, la actualización incluía un código defectuoso que provocaba la temida pantalla azul de la muerte en los equipos con Windows. Los equipos afectados no respondían ni siquiera después de reiniciarlos, lo que paralizó a miles de empresas en todo el mundo y perturbó las operaciones de bancos, aerolíneas, hospitales y otras organizaciones. Alrededor de 1400 vuelos fueron cancelados en todo el mundo debido a este problema, y a algunos viajeros se les entregaron tarjetas de embarque escritas a mano para poder subir a sus vuelos.
Los productos defensivos de CrowdStrike se utilizan en tantos lugares que este error provocó una serie de problemas. Ni siquiera se trató de un ciberataque, como afirmó el director ejecutivo George Kurtz en un comunicado.
Cuestionario de evaluación de riesgos de proveedores de CrowdStrike
Prevalent ha desarrollado una breve evaluación para enviar a sus proveedores con el fin de comprender mejor quiénes se ven afectados y cómo están respondiendo al problema. Esta breve evaluación proporcionará una rápida visibilidad de los terceros que utilizan el producto Crowdstrike Falcon Sensor y quiénes y en qué medida se han visto afectados por este incidente.
Aviso para los clientes habituales: esta evaluación ya está disponible en su biblioteca de cuestionarios.
| Preguntas | Opciones de respuesta |
|---|---|
| 1. ¿Utiliza su organización el producto CrowdStrike Falcon Sensor NGAV (antivirus de última generación) y EDR (detección y respuesta en puntos finales)?
Texto de ayuda: La empresa de ciberseguridad CrowdStrike lanzó una actualización de su producto Falcon Sensor el viernes 19 de julio, lo que provocó un incidente que afectó a los sistemas Windows. El defecto se encontró en una única actualización de contenido para hosts Windows, lo que provocó que se bloquearan y mostraran la pantalla azul de la muerte. |
a) Sí
b) No |
| 2. ¿Qué repercusión ha tenido el incidente en sus sistemas e infraestructura?
Texto de ayuda: Se debe tener en cuenta dónde se ha producido el impacto, además del nivel de impacto. Impacto significativo: la vulnerabilidad ha provocado una pérdida de confidencialidad o integridad de los datos. Alto impacto: se ha perdido periódicamente la disponibilidad del sistema y se ha producido cierta pérdida de confidencialidad o integridad de los datos. Bajo impacto: sin pérdida de confidencialidad ni integridad de los datos; interrupción mínima o nula de la disponibilidad del sistema. |
a) Se ha producido un impacto significativo en nuestros sistemas, aplicaciones o información críticos.
b) Existe un alto nivel de impacto en nuestros sistemas, aplicaciones o información críticos. c) El impacto en nuestros sistemas, aplicaciones o información críticos ha sido mínimo. d) El incidente no ha tenido ningún impacto en nuestros sistemas, aplicaciones o información críticos. |
| 3. ¿Dispone la organización de soluciones alternativas y/o sistemas de respaldo para realizar restauraciones? | a) Sí
b) No c) N/A Cuatro prácticas recomendadas para una respuesta proactiva ante incidentes de terceros |
| 4. ¿Ha implementado la organización los pasos de recuperación manual recomendados por CrowdStrike?
Texto de ayuda: CrowdStrike ha sugerido las siguientes soluciones manuales para restaurar los sistemas: Inicie Windows en modo seguro o en el entorno de recuperación de Windows. Navegue hasta el directorio C:WindowsSystem32driversCrowdStrike. Busque el archivo que coincide con C-0000029*.sysy elimínelo. Arranque el host normalmente. |
a) Sí
b) No |
| 5. ¿Quién es el punto de contacto que puede responder a preguntas adicionales?
Texto de ayuda: Indique la persona de contacto clave para gestionar la información y los incidentes de ciberseguridad. |
* Nombre: * Empresa: * Cargo: * Correo electrónico: * Teléfono: |
1. Elaborar un inventario centralizado de todos los terceros
Es necesario crear un inventario centralizado de proveedores en una plataforma, no en hojas de cálculo manuales, para que todos los equipos internos necesarios puedan participar en la gestión de proveedores a través de un proceso automatizado. Una vez hecho esto, es necesario realizar una puntuación de riesgo inherente paraayudar a determinar cómo evaluar a los proveedores externos de forma continua en función de los riesgos que suponen para su negocio.
2. Construir un mapa de terceros para determinar el riesgo de concentración tecnológica
Conocer las tecnologías de cuarta parte implementadasen el ecosistema de proveedores ayuda a identificar las relaciones entre su organización y terceros en función del uso de determinadas tecnologías.
Una vez que comprenda esto, podrá determinar mejor los posibles riesgos de concentración, como los puntos débiles y las vías de acceso a su empresa, para mitigarlos de forma proactiva. Puede lograrlo mediante una evaluación específica o un escaneo pasivo.
3. Evaluar la resiliencia empresarial y los planes de continuidad de terceros.
Interactúe de manera proactiva con los proveedores afectados mediante evaluaciones sencillas y específicas que se ajusten a las normas de seguridad de la cadena de suministro conocidas en el sector, comoNIST800-161 e ISO 27036. Los resultados de estas evaluaciones le ayudarán a identificar las medidas correctivas necesarias para subsanar las posibles deficiencias. Las buenas soluciones proporcionarán recomendaciones integradas para acelerar el proceso de corrección y subsanar rápidamente esas deficiencias.
4. Supervisar continuamente a los proveedores y distribuidores afectados para detectar posibles problemas.
Estar continuamente alerta ante el próximo problema en la cadena de suministro significa buscar señales de un incidente inminente. Es fundamentalsupervisar múltiplesfuentes de información sobre riesgos, como foros criminales, sitios web de avisos de hackeos/violaciones, repositorios de código y bases de datos de vulnerabilidades. Puede supervisar estas fuentes de forma individual o buscar soluciones que unifiquen toda la información en un único panel de control, de modo que todos los riesgos estén centralizados y sean visibles para la empresa. Afortunadamente, el problema de CrowdStrike no procedía de una fuente maliciosa, pero la supervisión de riesgos sigue siendo un componente clave para comprender su exposición a incidentes de terceros.
¿Y ahora qué?
Durante las próximas semanas, es probable que las empresas afectadas por la interrupción de CrowdStrike dediquen una cantidad significativa de tiempo a recuperar sus sistemas. Los proveedores, tanto grandes como pequeños, tendrán que hacer frente a la ralentización del negocio y volver a poner en servicio miles de equipos de usuarios finales. Saber cuáles de sus proveedores se han visto más afectados le dará una buena indicación de qué hacer a continuación y cómo asegurarse de que usted, si no se ha visto afectado por la interrupción, no sufra la misma ralentización en su negocio.
¿Desea perfeccionar su programa de gestión de riesgos de terceros y estar mejor preparado para incidentes futuros como este? Descubra cómo Prevalent puede ayudarle solicitando hoy mismo una demostración de nuestra plataforma TPRM.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
