网络安全巨头 CrowdStrike表示,其最近的软件更新导致了全球大规模技术中断,影响了全球约 850 万台微软设备。
尽管该事件仅影响了不到 1% 的所有正在使用的 Windows 计算机,但它已对几个重要领域产生了重大影响,证明了现代数字基础设施的影响有多么深远。
微软在一篇博客文章中透露了该问题的影响范围:“我们目前估计 CrowdStrike 的更新影响了 850 万台 Windows 设备,占所有 Windows 设备的不到 1%。”尽管这一数字只是 Windows 设备总数的一小部分,但其影响却十分广泛,凸显了 CrowdStrike 在网络安全领域的领导地位。
跨多个行业的影响
此次停电的影响已波及多个行业:
1. 航空:数千个航班被取消,导致乘客滞留或面临严重延误。受影响最严重的航空公司之一达美航空报告称,截至周六上午,已有 600 多个航班被取消,预计还会有更多航班被取消。
2. 广播:多家广播公司被迫停播,导致媒体服务中断。
医疗保健和银行业务:客户发现自己无法获得关键服务,包括医疗保健和银行系统。
3. 政府和企业部门:超过一半的财富 500 强企业和美国网络安全和基础设施安全局等主要政府机构依赖 CrowdStrike 的软件,因此此次中断的影响波及了公共和私营部门。
事件的技术细节
该公司发现无法联系的原因是 CrowdStrike 对其广泛使用的 Falcon 传感器软件进行了补丁。此更新旨在提高网络安全以防范新威胁。然而,更新文件代码中的错误导致许多客户端在使用 Microsoft Windows 时遇到崩溃。
包括 Security Scorecard 首席安全官史蒂夫·科布 (Steve Cobb) 在内的安全专家表示,该文件肯定找到了通过用于测试的审查或沙盒过程的方法。
专门研究操作系统威胁的安全研究员帕特里克·沃德尔 (Patrick Wardle) 表示,问题出在“包含配置信息或签名的文件”上。这对于识别某些类型的恶意代码或恶意软件非常重要。
此次停电的一些公开图片包括臭名昭著的“蓝屏死机”——受影响的计算机上显示的错误信息,广泛传播于社交媒体平台。
CrowdStrike 已提供信息来修复事件所损坏的系统。但是,恢复系统所需的措施非常繁重,而且任务繁重,因为必须手动清除每个受影响系统中的缺陷代码。
微软正在参与恢复过程。这家软件巨头正在与 CrowdStrike 合作,为微软的 Azure 基础设施创建加速修复。此外,微软还联系了亚马逊网络服务和谷歌云平台等大型软件提供商,告知他们他们的观察结果以及对行业的影响。
行业影响和经验教训
此次事件提醒人们,广泛使用的网络安全软件存在潜在风险,严格测试协议至关重要。Huntress Labs 首席安全研究员 John Hammond 强调了对软件更新采取更谨慎的态度的重要性:“理想情况下,应该先在有限的范围内推出。这是一种更安全的方法,可以避免出现这样的大混乱。”
此次中断还凸显了频繁安全更新和全面测试之间的微妙平衡。正如 Patrick Wardle 所说,“安全产品更新签名非常普遍,比如每天一次……因为他们不断监控新恶意软件,并希望确保客户免受最新威胁的侵害。”然而,在这种情况下,这种频率可能导致测试不足。
历史背景和行业趋势
这并不是我们第一次看到知名网络安全公司遭遇此类事件。2010 年,迈克菲关闭了数十万台装有漏洞杀毒软件更新的机器。但 CrowdStrike 宕机事件对全球的影响表明,随着越来越多的企业开始依赖网络安全软件,一家公司在所有行业领域都留下了多么深远的痕迹。
对于所有受影响的组织来说,他们目前正在努力重建系统,这次事件清楚地提醒我们,我们的数字生态系统中的一切是多么紧密。与此同时,这应该成为对非常严格的测试政策的一次考验,重塑缓慢提供关键更新的方法,并制定万一再次发生时可以实施的故障安全计划。
CrowdStrike 中断事件也引出了一个问题:网络安全行业是否集中了太多风险,以及这些中断事件是否进一步证明我们需要在系统内实现安全解决方案多样化。
随着数字世界继续变化并重新讨论软件开发、测试和部署方面的最佳实践,特别是在关键基础设施和安全系统中,这无疑将成为一个强有力的参考点。
