เหตุการณ์ CrowdStrike ไม่ได้สร้างความกังวลเฉพาะผู้ใช้ CrowdStike เท่านั้น แต่ EDR ยี่ห้ออื่นๆ ที่เป็นซอฟต์แวร์แบบเดียวกันก็มีความเสี่ยงเหมือนกัน ล่าสุดทาง Fortinet ผู้ผลิต FortiEDR ก็ออกมาเปิดเผยแนวทางป้องกันการทำเครื่องลูกค้าล่มด้วย

การทดสอบตัวซอฟต์แวร์ FortiEDR นั้นแบ่งเป็นสามระดับ ได้แก่ Major, Minor, และ Patch โดย Major และ Minor นั้นทดสอบในระบบทดสอบนานหลายเดือนก่อนปล่อยออกมา ขณะที่ Patch นั้นทดสอบหลายสัปดาห์ และเมื่อทดสอบเสร็จแล้วก็จะปล่อยในวงจำกัด (limited availability - LA) ก่อนจะขยายไปวงกว้าง

FortiEDR นั้นทำงานในเคอร์เนลเหมือน CrowdStrike ดังนั้นจึงมีความเสี่ยงจะทำเครื่องแครชได้เหมือนกัน แต่ Fortinet ระบุว่ามีกลไกพิเศษตรจสอบว่าโมดูลทำให้เครื่องแครชหรือไม่ หากตรวจพบจะปิดการทำงานตัวเอง และทำงานเฉพาะโปรแกรมระดับ user-space ต่อไปเพื่อเชื่อมต่อกับระบบจัดการเพื่อแก้ปัญหา

เหตุการณ์ CrowdStike นั้นไม่ใช่การอัพเดตตัวซอฟต์แวร์โดยตรง แต่เป็นการอัพเดตไฟล์คอนฟิกที่มีการอัพเดตต่อเนื่อง โดยไฟล์คอนฟิกไปกระตุ้นบั๊กที่มีอยู่ก่อนและเป็นไฟล์ที่ออกมาทางช่องทางเร่งด่วน Rapid Response Content จึงกระทบพร้อมกันอย่างรวดเร็ว

ที่มา - Fortinet