Analyse détaillée de la cause de l'incident du faux positif shh/updater-b

4 octobre 2012

Cette analyse de la cause profonde a été rédigée en anglais et nous l'avons traduite pour votre convenance. En cas de toute incohérence au niveau du sens, reportez-vous à la version anglaise définitive du document.

Introduction

Le 19 septembre 2012 à 20h02 UTC (temps universel coordonné), Sophos a publié une mise à jour à ses règles de détection sous la forme d'un fichier "IDE", provoquant de nombreuses fausses alertes sur les ordinateurs de ses clients et sur leurs consoles d'administration Sophos. Ces fausses alertes ont empêché la mise à jour de nos produits et de certains autres produits logiciels.

Sophos s'efforce de maintenir les standards les plus élevés de l'industrie en matière de qualité des produits, d'assistance clientèle et de protection pour nos clients. Cet incident, un écart inacceptable dans nos processus de qualité et de publication, a affecté de manière défavorable nombre de nos clients et partenaires.

Ce document récapitule comment s'est produit cet événement et les changements que Sophos a déjà apportés (ou apportera à l'avenir) pour améliorer nos processus d'assurance qualité, de tests et de publication, et pour faire en sorte que ce type d'incident ne se reproduise plus.

Impact pour les clients

Les clients affectés se divisaient en deux grandes catégories : 1) Ceux utilisant la version en cours des logiciels Sophos pour systèmes d'extrémité avec les paramètres par défaut pour le nettoyage et la protection Live, et 2) Ceux utilisant les mêmes logiciels avec la protection Live non activée, ou avec des changements apportés aux paramètres de nettoyage par défaut.

Catégorie 1

Les clients utilisant les produits Sophos pour ordinateurs d'extrémité avec les paramètres par défaut Sophos "Refuser l'accès uniquement" et "Activer la protection Live" ont été les moins affectés ; leurs installations Sophos et les applications tierces sont rapidement revenues à un fonctionnement normal. L'impact principal sur ces clients a été le travail supplémentaire nécessaire pour supprimer un grand nombre d'alertes liées au faux positif dans les journaux d'événements et pour répondre aux questions de leurs utilisateurs finaux sur l'apparition de ces alertes.

Catégorie 2

Dans d'autres environnements clients, les fausses alertes ont nécessité des opérations de réparation sur chaque ordinateur d'extrémité pour restaurer les logiciels Sophos et certains composants d'applications tierces. Pour de nombreux clients et partenaires, la charge de travail supplémentaire a été considérable pour résoudre le problème et, dans certains cas, d'autres systèmes et logiciels (comme Java, Adobe Acrobat, Google Chrome, etc.) ont été affectés.

Les clients qui n'avaient pas activé la protection Live ont dû l'activer et apporter quelques changements à leur gestionnaire de mise à jour "Sophos Update Manager" pour résoudre le problème. Dans certains cas, l'administrateur a dû se rendre sur les machines affectées.

Les clients qui avaient sélectionné les options "Déplacer" ou "Supprimer" (qui ne sont pas des options par défaut) dans leurs stratégies de nettoyage des ordinateurs d'extrémité ont été davantage affectés car les logiciels Sophos ont cessé de se mettre à jour correctement. De nombreuses applications tierces ont également été affectées. Nous avons mis à disposition des outils pour assister dans le processus de récupération, or ce processus impliquait tout de même l'exécution de l'outil ou des outils sur chaque machine affectée.

Contexte

L'agent Sophos de protection des ordinateurs d'extrémité comporte un moteur de détection des menaces utilisé pour contrôler les fichiers et tout autre contenu afin d'identifier les malwares, le code malveillant, le code considéré comme sain, etc. Ce moteur utilise un grand nombre de règles de détection, près de 200 000, pour déterminer ce qui est identifié et ce qui doit déclencher une alerte. Pour que Sophos parvienne à identifier les derniers malwares, exploits et applications légitimes, les règles de détection sont fréquemment mises à jour, généralement sous la forme d'un fichier IDE contenant plusieurs mises à jour de règles. Ces règles font appel à divers "opérateurs" présents dans le moteur qui, s'ils déclenchent une détection, peuvent entraîner diverses actions (identification des éléments requis pour le nettoyage, envoi des données de protection Live à Sophos, déclenchement d'une alerte pour l'utilisateur final ou la console, etc.). Le moteur de détection des menaces Sophos est conçu pour être indépendant des plates-formes afin que toutes les formes de malwares puissent être détectées sur toutes les plates-formes de systèmes d'exploitation (Windows, Linux, UNIX, Mac).

Sophos publie généralement une nouvelle version de l'agent de protection des ordinateurs d'extrémité et du moteur de détection des menaces une fois par mois et, plusieurs fois par jour, des mises à jour des règles de fichiers IDE pour protéger les clients contre le flot incessant de nouveaux malwares. Dans une journée standard, les SophosLabs identifient près de 180 000 codes malveillants ou éléments de malware. Dans une période type de 24 heures, Sophos publie six fichiers IDE, bien que le nombre puisse varier en fonction de l'urgence des menaces ou du paysage global des menaces. Sophos réalise des tests détaillés sur chaque nouvelle version du logiciel, sur chaque mise à jour de notre moteur de détection et sur chaque mise à jour de règle (IDE) avant de les publier pour ses clients.

Comme pour tout logiciel et mise à jour de données, il y a toujours un risque d'erreurs, de bogues et de défauts. Sophos procède à d'importants tests automatisés et utilise plusieurs étapes de vérification par ses experts pour garantir des "filets de sécurité" à la fois système et humains avant que toute mise à jour des règles ne soit publiée pour le client. Chaque fichier IDE publié, comme celui impliqué dans cet incident, passe au travers d'une procédure de test en douze étapes. Cette procédure implique des centaines de machines physiques et virtuelles fonctionnant en parallèle sur plusieurs plates-formes (versions Windows, Mac et Linux/UNIX différentes). Des tests sont effectués à l'aide de dizaines de millions de fichiers et de téraoctets de données censés caractériser l'intégralité de la base de données connue de menaces actives et d'applications légitimes. Ces tests incluent l'inspection du code automatisé et humain, la validation, les simulations de contrôle à grande échelle, les tests en environnement de production et les révisions par des pairs.

Comment cet incident est survenu et les étapes prises par Sophos pour l'empêcher à l'avenir

La cause initiale de cet incident a été une erreur humaine : un expert Sophos a incorrectement élaboré une mise à jour de nos règles de détection dans une mise à jour de fichier IDE, ce qui a déclenché des faux positifs dans le produit Sophos pour ordinateurs d'extrémité pour Windows.

Lorsque l'expert a fait l'erreur, celle-ci aurait pourtant dû être identifiée ou capturée par notre procédure de test en douze étapes. Dans ce cas, une combinaison d'erreurs humaines dans l'examen du code, des erreurs qui ont abouti à une interprétation incorrecte des résultats de tests, et une incohérence dans les environnements de test a fait que le fichier IDE défectueux a été autorisé pour publication.

Les sections suivantes donnent plus de détails sur ces facteurs et sont classées en trois éléments principaux :

1. Modification des règles
2. Test des processus
3. Résilience des produits

1. Modification des règles

Une modification a été apportée le 19 septembre 2012 à nos règles de détection, en particulier à une règle concernant les logiciels autorisés qui avait pour but de régler le volume des recherches de la protection Live Sophos. La règle modifiée a été ajoutée à la prochaine mise à jour planifiée des fichiers IDE : AGEN-XUV.IDE. Cette règle modifiée a utilisé un opérateur présent dans le moteur de détection des menaces, lequel est censé identifier le nom de détection.

Cet opérateur du moteur de détection des menaces a un effet secondaire connu où il signale aussi la détection même à l'agent Sophos pour ordinateurs d'extrémité. Cet opérateur a été fréquemment utilisé par les SophosLabs, généralement dans le cadre de l'écriture de règles de nettoyage. Le comportement de l'opérateur est très bien documenté : les experts doivent utiliser l'opérateur seulement lorsqu'il est précédé d'un opérateur distinct et différent qui signale tout de même la détection à l'agent pour ordinateurs d'extrémité, empêchant ainsi tout effet secondaire défavorable.

Pour ajouter encore à la confusion, cette règle mise à jour utilisait aussi un opérateur qui n'est pas pris en charge sur certaines variantes d'UNIX, c'est pourquoi l'expert incluait des vérifications pour s'assurer que la règle s'exécutait seulement dans des environnements Windows. Étant donné que la règle avait été créée pour identifier les logiciels Windows légitimes, cette restriction a été jugée acceptable.

En plus de la règle défectueuse, le nouveau fichier IDE contenait aussi séparément une protection contre certains échantillons soumis par les clients et une vulnérabilité Microsoft Internet Explorer critique (consultez la page http://www.sophos.com/fr-fr/threat-center/threat-analyses/viruses-and-spyware/Exp~20124969-A/detailed-analysis.aspx).

Actions recommandées

Sophos a identifié et introduit une correction à la règle IDE et publiera bientôt une version mise à jour du moteur de détection des menaces, tel que souligné ci-après.

MESURES PRISES PAR SOPHOS STATUT
Publication de la règle IDE corrigée sur tous les systèmes de mise à jour (javab-jd.ide). check TERMINÉE
Publication d'une nouvelle version du moteur de détection des menaces avec une correction pour l'effet secondaire d'origine. TERMINÉE D'ICI LE 15 OCTOBRE 2012
Passage en revue obligatoire par tous les experts des SophosLabs de tous les défauts connus et documentés ainsi que des effets secondaires et inclusion de la vérification de ces appels dans les examens par des pairs. check TERMINÉE
Inspection/amélioration des vérifications automatiques d'identités avec inclusion d'un déclenchement des alertes sur les zones à risque dans les opérateurs du moteur et bonnes et mauvaises pratiques connues. EN COURS

2. Test des processus

Sophos conduit des tests exhaustifs sur chaque produit pour ordinateurs d'extrémité publié. Ces tests couvrent le moteur de détection des menaces, les tests unitaires et les tests système sur chaque plate-forme prise en charge et ce, dans des environnements de production à grande échelle. En outre, Sophos conduit des tests complets sur chaque fichier IDE avant sa publication. Cinq phases des tests en douze phases auraient dû détecter le fichier IDE défectueux. Les phases de test figurent dans le tableau ci-dessous.

Phases de test Sophos réalisées pour chaque publication et mise à jour de fichier IDE Phases de test qui auraient dû empêcher la publication du fichier IDE défectueux
  • Test unitaires des experts
  • Examen par des pairs
  • Tests de compilation et avertissement
  • Validation de l'identité
  • Tests positifs (tests détection étendu des malwares)
  • Tests Wildlist (d'après les échantillons publiés par wildlist.org)
  • Tests de détection (test IDE)
  • Tests de performances
  • Tests de mémoire
  • Tests de suppression et de nettoyage
  • Tests de faux positifs
  • Tests de production
  • Test unitaires des experts
  • Examen par des pairs
  • Validation de l'identité
  • Tests de détection (test IDE)
  • Tests de faux positifs

 

Il y a eu des échecs dans chacune de ces cinq phases de test qui, en combinaison, signifiaient que le fichier IDE est passé au travers des procédures de test sans être rejeté. Nous examinons ci-dessous chacun de ces cinq problèmes.

Test unitaires des experts L'expert a utilisé une version plus récente et non publiée du moteur de détection des menaces où l'effet secondaire de l'opérateur avait déjà été réparé et résolu dans le moteur. L'expert n'a donc pas vu les rapports de détection incorrects lors des tests de développement. Pour s'assurer qu'ils profitent des toutes dernières fonctionnalités de protection, les experts travaillent généralement sur la toute dernière version du moteur lors de la création de règles. Toutes les règles qu'ils créent sont testées par rapport aux précédentes versions du moteur toujours en cours d'utilisation, dans le cadre de notre processus de tests pour la publication.

Examen par des pairs. Dans le cadre de notre processus, toutes les modifications et ajouts à l'une de nos identités, y compris les routines globales, sont soumis à un processus d'examen par des pairs où un deuxième expert indépendant passe les changements en revue. Cette utilisation particulièrement erronée de l'opérateur du moteur et les conséquences du défaut de ce moteur en plus de la vérification Windows auraient dû être identifiés, mais ne l'ont pas été à cause d'une erreur humaine.

Validation de l'identité.Dans le cadre des tâches de l'expert, les identités sont soumises au système de contrôle source Sophos qui suit à la trace et stocke toutes les identités, règles et révisions. C'est ce qu'on appelle la base de données des identités (IDB, identity database). Dans le cadre du processus de soumissions, de nouvelles règles et identités sont validées et des erreurs et des avertissements sont générés. La vérification de validation est conçue pour identifier les erreurs dans la syntaxe du code de programmation, l'utilisation erronée d'opérateurs, l'inclusion d'erreurs connues ainsi que d'autres erreurs simples facilement définies. Comme l'opérateur a employé une vérification de validation qui est effective si elle est correctement utilisée, l'erreur n'était pas incluse dans la base de données des erreurs critiques et n'était donc pas identifiée comme une erreur critique.

Tests de détection (test IDE).La phase de test IDE sert à vérifier que tous les fichiers appropriés sont détectés par notre moteur de détection des menaces publié et que les données des règles sont ajoutées à la version finale du fichier IDE. Il s'agit d'une série de 31 tests distribués sur un grand nombre de noeuds de machines virtuelles.

Au cours de ce test, plusieurs machines individuelles ont échoué (pas le test même, mais la machine virtuelle), et les résultats de ces tests comportaient une erreur critique. Comme la publication du fichier IDE était jugé urgente (pour réparer à la fois les échantillons urgents soumis par les clients, mais aussi une vulnérabilité critique Microsoft Internet Explorer), et parce que l'expert croyait que les échecs des noeuds des machines virtuelles étaient dus à une instabilité dans le matériel système de test ou dans l'environnement de la machine virtuelle plutôt qu'au test lui-même, les erreurs critiques associées aux échecs des noeuds ont été négligées. Dans les résultats du test, la notification de l'échec du noeud est apparue en premier, mais si l'expert avait observé scrupuleusement les résultats tout au bas de l'écran de notification de l'erreur, il ou elle aurait vu les messages d'erreur qui ont identifié une identité "Shh". Malheureusement, l'expert n'a pas cherché davantage à connaître la cause de l'erreur critique ou à refaire le test.

Tests de faux positifs En parallèle au test IDE, Sophos conduit un test de faux positif sur toute version finale du fichier IDE. L'environnement de test du faux positif (ou "rig") est constitué d'un très grand nombre de systèmes parallèles. Ces systèmes utilisent notre moteur et nos règles de détection des menaces et règles les plus récemment publiés, avec la version finale du fichier IDE ajoutée, pour pouvoir contrôler plus de 10 millions de fichiers légitimes et des téraoctets de données. La série de fichiers de test est régulièrement mise à jour et inclut tous les fichiers des systèmes d'exploitation Microsoft, de nombreuses applications répandues (comme Java, Adobe et Google Maps), un grand nombre d'applications commerciales et toutes les versions en cours et précédentes des produits Sophos.

Le moteur de détection des menaces est compilé et pris en charge sur de nombreuses plates-formes, y compris Windows et de nombreuses variantes Linux/UNIX. Étant donné que le test est censé être complet et qu'il y a une série de données considérable, les tests de faux positif sont exécutés sur les serveurs Linux. La vaste majorité des règles et des identités Sophos sont conçues pour être multiplateformes et pour s'exécuter sur de multiples systèmes d'exploitation, notamment Linux, Windows, Mac OS et UNIX. L'objectif principal du test de faux positif était d'identifier les faux positifs, pas de confirmer l'exploitation multiplateformes du fichier IDE. Cette règle était l'exemple rare d'une règle qui a été écrite par l'expert pour fonctionner seulement dans les environnements Windows. Comme le "rig" du faux positif fonctionne seulement sur les serveurs Linux, les tests n'ont pas identifié les faux positifs Shh/ car la règle avec l'erreur sous-jacente a été spécifiquement identifiée pour Windows seulement.

Comme mentionné ci-dessus, si l'un de ces cinq problèmes n'avait pas eu lieu, le fichier IDE aurait échoué à l'une des phases de test et n'aurait pas été publié.

Actions recommandées

Pour s'assurer que cette série d'événements ne se reproduise plus, Sophos a pris ou va bientôt prendre les mesures suivantes.

MESURES PRISES PAR SOPHOS STATUT
Rendre obligatoire une nouvelle exécution de tous les tests IDE dans le cas d'une erreur critique ou d'un échec système quelconque. Lorsqu'un fichier IDE a besoin d'être recréé, suppression non seulement de l'identité offensante, mais aussi des éléments non urgents. Lors d'une nouvelle exécution, inclusion des éléments urgents seulement afin de réduire les risques d'une seconde série d'échecs. Aucun test ne peut être jugé réussi en cas d'échec QUEL QU'IL SOIT du système, de l'outil ou du test. check TERMINÉE
Mise en place d'un environnement de test de faux positifs approprié aux plates-formes, notamment les plates-formes Windows et Linux, pour permettre à l'environnement de test de faux positifs de servir également d'environnement de test de plates-formes. check TERMINÉE
Amélioration et développement du système de test de faux positifs en termes d'échelle, de couverture des plates-formes et de résilience. check TERMINÉE
Introduction de cycles de publication distincts pour les mises à jour urgentes d'identités et de changements plus généraux de procédures ou de règles. Les changements généraux de procédures ou de règles seront soumis à des procédures de tests supplémentaires et à un cycle de publication plus long. check TERMINÉE
Tous les changements généraux de procédures ou de règles doivent être testés dans des environnements de production et soumis à un test système complet, notamment la console d'administration et une sélection d'ordinateurs d'extrémité Sophos de production en interne avant publication pour le client. EN COURS
Formalisation des objectifs, inspections des examens par des pairs et critères d'entrée et de sortie de chaque phase. Documentation du processus et des conditions spécifiques requises en faisant la différence entre revue et "inspection" plus formation de tous les employés des SophosLabs, nouveaux ou anciens. EN COURS
Contrôle et amélioration des examens de validation des identités pour y inclure une base de données plus importante d'erreurs de codage et pour couvrir des règles qui, même si elle ne génèrent pas d'échecs, peuvent introduire des risques supplémentaires de déclenchement d'effets secondaires ou de défauts au niveau du moteur.

EN COURS

 

3. Résilience des produits

Le produit pour ordinateurs d'extrémité Sophos comporte un agent avec un système de mise à jour automatique qui peut être configuré pour se mettre à jour de façon redondante à partir des répertoires d'installation centralisée via le Sophos Update Manager et/ou directement depuis Sophos via http.

Le composant de l'agent d'extrémité qui réalise la mise à jour s'appelle Sophos Auto Update. Le système de mise à jour est complètement indépendant du Sophos Remote Management System (RMS), lequel peut être utilisé pour envoyer les changements de la stratégie de configuration et recevoir les rapports centralisés et recueillir les événements. Via les recherches en direct, il existe une troisième filière de communication indépendante entre chaque agent d'extrémité Sophos et Sophos lorsque la protection Live est configurée sur "Activée." Grâce à ces trois systèmes, Sophos peut assurer une protection régulière continuellement mise à jour contre les dernières et plus courantes menaces de malwares, mais aussi permettre de récupérer de certains problèmes. La protection Live fait partie de toutes les versions du produit pour ordinateurs d'extrémité Sophos depuis la version 9.5 publiée en juin 2010. Elle est par défaut activée.

Dans ce cas, pour les clients dont la protection Live est activée, ce processus de recherche indépendant a identifié Sophos Update Manager et Sophos Auto Update comme sains pour remplacer le faux positif dans les règles déployées localement, de manière à ce que Sophos Update Manager et l'agent d'extrémité (et toute autre application affectée) puissent revenir à un fonctionnement normal.

Pour les clients avec la protection Live activée, le faux positif a continué d'empêcher Sophos Update Manager et Sophos Auto Update de s'exécuter correctement, ce qui implique que ces environnements ne pouvaient pas télécharger le fichier IDE corrigé. Bien que l'agent d'extrémité Sophos a continué de contrôler et de protéger les ordinateurs d'extrémité, des mesures correctives ont dû être prises pour permettre aux agents de continuer à récupérer les mises à jour depuis Sophos. Pour les nombreux clients affectés, cela a consisté à apporter des changements dans la configuration du gestionnaire de mise à jour Update Manager afin qu'il puisse continuer à mettre à jour. Dans la plupart des cas, le déploiement de ces changements de configuration conjointement à un changement de stratégie pour activer la protection Live, et la livraison au travers du système RMS indépendant (redondant) sur les agents d'extrémité, permettraient la restauration des fonctionnalités complètes des applications Sophos et tierces.

Nous estimons que la grande majorité des clients Sophos avaient soit activé la protection Live, soit sélectionné le paramètre de nettoyage par défaut "Refuser l'accès" sur le produit d'extrémité Sophos pour les fichiers soupçonnés d'être du malware, au lieu des paramètres facultatifs "Déplacer" ou "Supprimer."

Dans certains cas, en particulier lorsque les clients avaient des stratégies autres que celles par défaut qui ont déplacé ou supprimé les fichiers détectés avec le faux positif, ils ont dû aussi réparer le logiciel Sophos sur chaque ordinateur d'extrémité pour que la mise à jour fonctionne à nouveau. Les ingénieurs Sophos ont rapidement mis au point et introduit de nouveaux outils pour automatiser une grosse partie du processus et les ont mis à disposition sur le site Web de l'entreprise.

Sophos s'interroge actuellement sur un certain nombre de changements qui pourraient être apportés aux produits d'extrémité Sophos qui atténueraient l'impact immédiat d'un tel défaut et permettraient de récupérer d'un tel incident d'une façon plus automatisée et gérable pour les clients et les partenaires.

Actions recommandées

Le tableau ci-dessous inclut certaines de ces améliorations de produits que Sophos considère actuellement.

MESURES PRISES PAR SOPHOS STATUT
Évaluation de la possibilité de supprimer la fonction "Supprimer" et de la remplacer par une fonctionnalité robuste de quarantaine récupérable. PLANIFICATION POUR LES VERSIONS FUTURES DES PRODUITS.
Amélioration dans le produit de la communication concernant la protection Live pour encourager les clients existants et futurs à l'activer. PLANIFICATION POUR LES VERSIONS FUTURES DES PRODUITS.
Amélioration de la résilience des processus de mise à jour Sophos. PLANIFICATION POUR LES VERSIONS FUTURES DES PRODUITS.
Amélioration des fonctionnalités de protection automatique de l'agent Sophos pour ordinateurs d'extrémité, pour y inclure la mise à jour. PLANIFICATION POUR LES VERSIONS FUTURES DES PRODUITS.

 

RÉPONSE À L'INCIDENT : enseignements supplémentaires tirés

Si nos clients et partenaires ont globalement jugé Sophos comme très ouvert et franc dans notre communication de l'incident et hautement réactif pour aider les clients affectés à résoudre le problème, il y a trois domaines importants dans lesquels notre réaction aurait pu être améliorée de manière significative.

1. Télécommunications capacité des centres d'appels du support technique

Au moment de la découverte de l'incident, Sophos a transféré tout son personnel technique disponible au traitement des appels du support technique avec plages horaires étendues à Abingdon (Royaume-Uni), Boston, Wiesbaden (Allemagne), Madrid, Milan, Paris, Sydney, Yokohama, Vancouver et d'autres villes dans le monde. Le volume des appels dans les premières 48 heures de l'incident était bien supérieur à 10 fois normale. Ce qui a créé des temps d'attente prolongés pour les clients et, dans certains cas, a généré un dépassement de capacité de nos commutateurs téléphoniques. En conséquence, le client recevait des tonalités de ligne occupée et ne parvenait pas à intégrer la file d'attente téléphonique. Cette situation a été exacerbée dans notre centre d'appels de Boston par un défaut dans le système téléphonique. Pendant trois jours à Boston, la capacité téléphonique entrante a été réduite de 50 %. Sophos s'efforce de fournir l'assistance clientèle la plus réactive du marché de la sécurité informatique, les clients attendant généralement moins de trois minutes avant de parler à un agent de support technique qualifié. Au cours de cet incident, Sophos n'a pas été à la hauteur de sa mission en matière de réactivité et des temps d'attente pour nos clients. Alors que nous faisons tout ce qui est en notre pouvoir pour nous assurer qu'un tel incident ne se reproduise plus, nous prenons également des mesures pour améliorer notre infrastructure de support technique au cas où un problème de cette envergure et, quelle qu'en soit la nature, affecte nos clients.

Actions recommandées

MESURES PRISES PAR SOPHOS STATUT
Mise en place d'un fournisseur tiers pour les transferts/débordements d'appels dans le but de gérer les pics d'appels brutaux au support technique. check TERMINÉE AU ROYAUME-UNI ET EN AMÉRIQUE DU NORD
Mise en place d'une procédure de réponses d'urgence à tout incident en vue du changement immédiat des tâches de gestion des appels entrants, notamment les messages par serveur vocal interactif (IVR), les flux d'appels et les rappels. EN COURS
Collaboration avec les fournisseurs de services téléphoniques pour améliorer la résilience et la redondance des systèmes téléphoniques et centraux privés afin de protéger les infrastructures lors de pics du trafic téléphonique. check EN COURS

2. Système de notification proactif

Sophos a annoncé le problème du faux positif sur Twitter et a ajouté un article de la base de connaissances dans l'heure qui a suivi l'incident. Nous avons grandement annoncé l'incident par l'intermédiaire de la presse et des médias sociaux dans les 2,5 heures qui ont suivi, une fois que l'étendue de l'impact devenait clair. En revanche, il a fallu près de 19 heures avant que tous les clients Sophos ne soient alertés par courriel.

Actions recommandées

MESURES PRISES PAR SOPHOS STATUT
Changement de la procédure Sophos de réponse d'urgence à l'incident afin de pouvoir lancer des communications clients 24h/24 et 7j/7. check TERMINÉE
Développement et test régulier des systèmes de communication automatiques par courriel et contact des bases de données pour accélérer l'envoi des notifications urgentes par courriel. EN COURS
Identification de méthodes alternatives de communication autres que par courriel de ces mises à jour aux clients, par exemple, le texto, les alertes sur console et le RSS. EN COURS

3. Article de la base de connaissances

Les premières versions de l'article de la base de connaissances Sophos (KBA) étaient difficiles à suivre pour de nombreux clients. En outre, le système de publication de Sophos a donné des résultats incohérents lors du déploiement des révisions améliorées de l'article. Ce qui a provoqué des résultats obsolètes ou (parfois) une page blanche lors des premières 48 heures, lorsque le site Web de Sophos connaissait des pics de chargement qui étaient 25 fois le niveau normal des pages consultées sur l'intégralité de notre site Web.

Actions recommandées

MESURES PRISES PAR SOPHOS STATUT
Changement de la procédure Sophos de réponse d'urgence à l'incident pour nommer immédiatement un responsable de la convivialité et du flux de travail pour les articles principaux de la base de connaissances. check TERMINÉE
Création d'un modèle d'article de la base de connaissances pour les incidents d'urgence avec notamment captures d'écran, listes de vérification pour aider les partenaires et les clients à identifier si oui ou non ils ont été affectés, et si oui, connaître la gravité de l'impact. check TERMINÉE
Examen et changement du processus de publication des KBA afin d'améliorer notre capacité à publier rapidement, y compris dans les langues étrangères, en cas de situations d'urgence. EN COURS

 

Recommandations supplémentaires

Cet incident a mis en lumière le fait que Sophos doit proactivement fournir davantage de conseils pratiques sur les paramètres de stratégie les plus appropriés que nos clients et partenaires peuvent utiliser lors du déploiement et de l'administration de nos produits. Si les paramètres Sophos par défaut pour les nouvelles installations auraient pu empêcher cet incident de provoquer des perturbations au-delà des alertes, certains clients n'avaient pas activé la protection Live alors que d'autres avaient choisi de changer leurs paramètres de nettoyage par défaut sur "Déplacer" ou "Supprimer".

Nous avons publié un article de la base de connaissances, le numéro 114345 qui contient notre stratégie recommandée courante. Il recommande, entre autres, d'activer la protection Live et de paramétrer l'action de non-nettoyage sur "Refuser l'accès uniquement."

Conclusion

Depuis la création de Sophos en 1985, nos clients et partenaires se sont habitués à une qualité des produits et à une assistance clientèle irréprochables. Pour qu'un tel événement ne se reproduise plus, nous devons de nouveau nous engager à apporter des améliorations régulières et concrètes à nos systèmes, nos processus et à notre organisation, notamment à celles mentionnées dans ce document. Parallèlement, nous devons assurer une réponse améliorée à tout événement de sécurité critique, quel que soit sa source. Rien n'est plus important pour nous que de gagner la confiance de nos clients pour protéger leurs entreprises. Sophos tirera les enseignements de cet incident et ressortira plus fort que jamais, pour proposer des services à plus forte valeur ajoutée à nos partenaires et clients d'une manière plus fiable et plus réactive.