3min Security

CrowdStrike verzet zich tegen “schimmige” concurrentie na storing

CrowdStrike verzet zich tegen “schimmige” concurrentie na storing

Op 19 juli zorgde een mislukte CrowdStrike Falcon-update voor een wereldwijde IT-storing. Sindsdien hebben concurrenten de werkwijze van CrowdStrike fel bekritiseerd. Nu dient het bedrijf de rivalen van repliek.

Het CrowdStrike-incident zou naar schatting 8,5 miljoen Windows-apparaten hebben laten crashen. De beruchte Blue Screen of Death (BSOD) kwam tevoorschijn op pc’s in ziekenhuizen, verkoopsystemen in winkels en de computers van meerdere vliegtuigmaatschappijen. Delta Airlines moest 6.000 vluchten annuleren en heeft naar eigen schatting 500 miljoen dollar aan schade opgelopen door de IT-storing. Het heeft gedreigd met een rechtszaak.

CrowdStrike ziet juridische actie als “ongegrond” en de eigen advocaten stellen dat de maximale aansprakelijkheid van het bedrijf contractueel is beperkt tot enkelvoudige miljoenen dollars.

Tip: CrowdStrike wijst claims over vluchtvertraging af

Kritiek van concurrenten

Vanuit de IT-markt zelf is de kritiek van een andere aard. Immers hebben CrowdStrike-alternatieven iets te bewijzen om ontevreden klanten wellicht te charmeren. Onder de criticasters bevonden zich SentinelOne en Trellix. Volgens Trellix-CEO Bryan Palma is de eigen aanpak “conservatief” genoeg om nooit voor een soortgelijk incident te veroorzaken.

CrowdStrike-president Michael Sentonas verweerde zich tegen de kritiek tegenover Financial Times. Hij noemt de poging van de concurrentie om in te spelen op de IT-storing “schimmig” en “misplaatst”. Volgens hem kan geen enkele andere security-vendor garanderen dat een soortgelijk incident met het eigen product onmogelijk is. SentinelOne-CIO Alex Stamos noemt die suggestie “gevaarlijk”.

Kernel-problemen

CrowdStrike merkt terecht op dat de concurrentie maar wat graag profiteert van de eigen IT-perikelen. Dat vendoren dit doen is overigens niet uniek. Ook bij de VMware-tumult door toedoen van de Broadcom-overname eind vorig jaar grijpen partijen als Nutanix en Scale Computing naar de microfoon om hun alternatieve oplossing te verkondigen. Echter is de reactie op CrowdStrike bijzonder venijnig en gericht op de vermeende structurele tekortkomingen van het bedrijf.

Toch is er weldegelijk een verschil tussen de aanpak van CrowdStrike en de meeste andere securitybedrijven. Het feit dat de Falcon-sensor van CrowdStrike zich in kernel mode bevindt, biedt zowel kansen als risico’s. De voordelen zijn significant, aangezien deze diepgaande modus in Windows-systemen de mogelijkheid biedt bestanden te lezen en direct te reageren op mogelijke dreigingen. Het nadeel bleek op 19 juli: als er iets misgaat in kernel mode, is de oplossing vanuit Windows om het systeem uit veiligheidsoverwegingen te laten crashen.

Gulden middenweg?

De kritiek van andere partijen gaat uit van een simpel feit: zij zitten niet met hun oplossingen in kernel mode. Hierdoor zou het inderdaad niet zomaar mogelijk zijn dat een andere vendor een soortgelijke IT-storing veroorzaakt. Zeker niet via updates waarvan de timing buiten het beheer valt van gebruikers, iets dat voortaan ook niet meer bij CrowdStrike het geval is.

Hoe dan ook blijft de bescherming op kernel-niveau aantrekkelijk. CrowdStrike is niet opeens gestopt met een sensor op kernel-niveau, dat het al sinds de introductie van Falcon in 2013 hanteert. Toch is het de vraag of een gulden middenweg niet mogelijk is. Zo staat Linux via eBPF een geitenpaadje naar de kernel toe zonder de mogelijkheid om het systeem te laten crashen (wat bij Linux een “kernel panic” heet, het eigen equivalent van een BSOD).

Beluister ook onze Techzine Talks-aflevering over het CrowdStrike-incident: