CrowdStrike ออกมาขอโทษ เหตุ Windows จอฟ้า เกิดจากการอัปเดตซอฟท์แวร์ที่ติดบั๊ก

หลังจากวิกฤต Windows จอฟ้าเมื่อวันศุกร์ที่ผ่านมา ล่าสุด ‘CrowdStrike’ บริษัทซอฟท์แวร์ระดับโลกได้เผยรายงานการทบทวนเหตุการณ์หลังเกิดเหตุ (post incident review) กล่าวว่า ปัญหาจอฟ้ามรณะเกิดขึ้นจากการติดบั๊ก หรือพบข้อบกพร่องจากการทดสอบซอฟต์แวร์ ทำให้ไม่สามารถตรวจสอบความถูกต้องของการอัปเดตซอฟท์แวร์ที่ถูกส่งไปยังเครื่องคอมพิวเตอร์นับล้านเครื่อง

นั่นหมายความว่า การทดสอบซอฟต์แวร์มีข้อบกพร่องที่ทำให้ไม่สามารถตรวจสอบหรือยืนยันการอัปเดตได้อย่างถูกต้องก่อนที่จะส่งออกไป จึงนำไปสู่ปัญหาที่อาจเกิดขึ้นกับเครื่องคอมพิวเตอร์ที่ได้รับการอัปเดตนั้น ทำให้ CrowdStrike สัญญาว่า การทดสอบการอัปเดตเนื้อหาครั้งต่อไปอย่างละเอียดยิ่งขึ้น และปรับปรุงการจัดการข้อผิดพลาด เพื่อหลีกเลี่ยงการเกิดภัยพิบัตินี้ซ้ำ

ซอฟต์แวร์ Falcon ของ CrowdStrike ที่ธุรกิจทั่วโลกใช้งานเพื่อจัดการกับมัลแวร์และการถูกละเมิดบนเครื่อง Windows หลายล้านเครื่อง ได้มีการอัปเดตเมื่อวันศุกร์ ซึ่งมีจุดมุ่งหมายเพื่อตรวจจับเทคนิคภัยคุกคามใหม่ๆ แต่สุดท้ายกลับทำให้เครื่อง Windows กว่า 8.5 ล้านเครื่องทั่วโลก ต้องหยุดทำงานแทนไป

โดยปกติแล้ว CrowdStrike จะมีการอัปเดตการกำหนดค่า (configuration updates) สองแบบ:

1. ‘Sensor Content’ อัปเดตเซ็นเซอร์ของ Falcon โดยตรง ซึ่งทำงานที่ระดับหลักของระบบปฏิบัติการ Windows (เคอร์เนล) ซึ่งผสานเข้ากับระบบ เพื่อให้รักษาความปลอดภัย และตรวจจับภัยคุกคามที่แข็งแกร่ง
2. ‘Rapid Response Content’ อัปเดตวิธีที่เซ็นเซอร์ตรวจจับมัลแวร์ ซึ่งปัญหาเมื่อวันศุกร์มาจากไฟล์เนื้อหา Rapid Response ขนาดเล็กเพียง 40KB เท่านั้น

การอัปเดตเซ็นเซอร์ไม่ได้มาจากระบบคลาวด์ และโดยทั่วไปจะรวมถึงโมเดล AI และ machine learning ที่จะช่วยให้ CrowdStrike ปรับปรุงความสามารถในการตรวจจับในระยะยาว และถึงแม้ CrowdStrike จะทำการทดสอบ Sensor Content และเทมเพลต (Template Types) ทั้งแบบอัตโนมัติและแบบแมนนวล แต่ดูเหมือนว่าจะไม่ได้ทำการทดสอบ Rapid Response Content ที่จัดส่งในวันศุกร์อย่างละเอียดถี่ถ้วนมากนัก

เพื่อป้องกันไม่ให้เหตุการณ์นี้เกิดขึ้นอีก CrowdStrike สัญญาว่า บริษัทจะปรับปรุงการทดสอบ Rapid Response Content โดยใช้การทดสอบของนักพัฒนาในพื้นที่ การอัปเดตเนื้อหา และการทดสอบการย้อนกลับ รวมทั้งการทดสอบความเสถียร และการทดสอบอินเทอร์เฟซเนื้อหา Rapid Response Content

นอกจากนี้ CrowdStrike จะใช้การปรับใช้ Rapid Response Content แบบสลับสับเปลี่ยนกัน เพื่อให้มั่นใจว่าการอัปเดตจะค่อยๆ ปรับใช้กับส่วนที่ใหญ่กว่าของฐานการติดตั้ง แทนที่จะส่งไปยังทุกระบบในทันที ซึ่งบริษัทกล่าวว่าจะให้ลูกค้าสามารถควบคุมการอัปเดตซอฟท์แวร์ดังได้มากขึ้น เพื่อให้พวกเขาสามารถเลือกเวลาและสถานที่ที่จะมีการอัปเดตได้

Shawn Henry หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ CrowdStrike กล่าวขอโทษในโพสต์บน LinkedIn เมื่อวันจันทร์ว่า บริษัท ‘ล้มเหลว’ ในการแก้ปัญหาให้ลูกค้า ความมั่นใจและความเชื่อถือที่ค่อยๆ สะสมในช่วงหลายปีที่ผ่านมานั้น หายไปในพริบตาเพียงไม่กี่ชั่วโมง และมันก็แย่มากด้วย

ทั้งนี้ หุ้นของ CrowdStrike ลดลงเกือบ 30% หลังวิกฤตจอฟ้ามรณะ และมูลค่าบริษัทลดลงกว่าหลายพันล้านดอลลาร์สหรัฐฯ ซึ่งล่าสุด หุ้นของ CrowdStrike ปิดตลาดที่ 268.88 ดอลลาร์สหรัฐฯ เพิ่มขึ้นเล็กน้อย 1.88% และมูลค่าตลาดที่ 2.69 แสนล้านดอลลาร์สหรัฐฯ

ที่มา The Verge, Bloomberg, Companies Market Cap