Timeline
_
of
_
the
_
Crowdstrike
_
Windows
_
update
_
bug
_
and
_
its
_
consequences

What happened, what has been the impact, response and consequences of the events caused by the failed CrowdStrike upgrade.

El deterioro silencioso

Sin afirmar una causa raíz que todavía no ha sido publicada, este tipo de caso rara vez nace de una sola falla espectacular. Normalmente aparece por acumulación de brechas de postura: privilegios excesivos, accesos permanentes que nunca se desmontaron, configuraciones heredadas, cuentas administrativas con demasiado alcance, excepciones que se volvieron permanentes y controles que existían, pero que no se terminaron de endurecer ni de sostener operativamente.

July 19, 2024, 04:09 UTC

Two additional IPC template instances are deployed. Due to an error in the Content Validator, one of the two instances passes validation despite containing problematic data in its content, triggering a Windows operating system failure (BSOD).

Aterrizado a una lectura práctica, si una organización quiere dificultar seriamente un escenario de compromiso, persistencia y activación destructiva sobre su entorno Microsoft, un baseline razonable debería contemplar como mínimo: Microsoft Entra ID P2, Microsoft Defender for Endpoint, Microsoft Defender for Identity y Microsoft Defender for Cloud Apps. En organizaciones donde Intune administra acciones sensibles, también cobra mucho valor incorporar esquemas de doble aprobación para cambios críticos, porque Intune ya soporta Multi-Admin Approval para operaciones y cambios administrativos de alto impacto. Defender for Identity está disponible de forma independiente o dentro de suites E5; Defender for Cloud Apps requiere licenciamiento para los usuarios protegidos; y Defender for Endpoint Plan 2 es una pieza central para endurecimiento y respuesta en endpoint.

Las preguntas correctas

Desde la metodología de Sofistic, la seguridad no puede evaluarse solo por inventario de herramientas; debe evaluarse por capacidad efectiva de control: arquitectura, configuración, operación, monitoreo, revisión periódica y disciplina de gobierno.

Incident Timeline

Pre-Deployment Development and Implementation Phase

Financial Implications

From an economic perspective, companies have had to bear significant direct costs to mitigate the incident, including overtime for IT staff and the hiring of cybersecurity experts to resolve the issues. The loss of revenue due to service disruptions has been a direct impact, compounded by the reputational damage to the affected entities, which could lead to a loss of customer trust and a potential decline in future sales. In the case of the United States, which has published data on the matter, financial losses are estimated to reach up to $5.4 billion for major U.S. companies, with only between $540 million and $1.08 billion covered by insurance.

19 de julio de 2024, 19:30 UTC

Declaración del CEO de CrowdStrike, George Kurtz, disculpándose por la interrupción y detallando los esfuerzos de remediación en curso.

Microsoft blames the EU

El valor de nuestros servicios MDR se traduce en resultados medibles para las organizaciones que confían en Sofistic. La autorización de Darktrace nos permite ofrecer un nivel superior de protección, combinando inteligencia artificial y experiencia humana para anticiparnos a las amenazas más complejas.

Microsoft blamed the European Union for the computer failure, arguing that an agreement with the European Commission in 2009 prevented them from making necessary changes to the system's security, specifically blocking access to the system's kernel. According to Microsoft, this agreement forced them to allow the installation of multiple security providers, contributing to the massive failure.