TLDR
• 网络安全公司 CrowdStrike 的 Falcon Sensor 产品更新出现严重错误,导致全球大量 Windows 系统崩溃,引发航空、交通、媒体等多个行业服务中断,这起事件对高度依赖软件和网络的AI时代敲响了警钟。
• 此次事件暴露出过度依赖单一安全厂商的风险,以及安全软件更新测试和部署流程的重要性,同时也引发了关于合规性检查与实际安全风险之间平衡的讨论。
• 在 AI 时代,软件安全漏洞可能被利用来攻击 AI 系统,例如数据投毒、模型窃取等,因此确保 AI 系统的安全性和可靠性至关重要。
微软Windows系统全球崩溃,罪魁祸首竟是CrowdStrike安全更新?
2024年7月19日,一场突如其来的IT灾难席卷全球,无数Windows用户被迫面对那个令人恐惧的蓝色屏幕——“蓝屏死机”(BSOD)。而始作俑者,竟然是知名网络安全公司CrowdStrike发布的一款安全更新!
图1:CrowdStrike博客中使用的蓝色背景图片,象征着这次全球Windows系统崩溃事件
据悉,此次受影响的用户遍布全球,包括英国天空新闻、爱尔兰瑞安航空、柏林机场等在内的众多企业、机构和政府部门的Windows系统均出现了不同程度的崩溃。美国出现航班停飞、英国出现列车服务中断、爱丁堡机场的登机扫描仪出现故障。甚至,医疗机构在救治心脏病患者时也遭遇了系统崩溃的困境。一时间,恐慌情绪蔓延开来,各种猜测甚嚣尘上。是黑客攻击?是病毒入侵?还是系统漏洞?
CrowdStrike是什么?为何它的更新能引发如此大规模的故障?
CrowdStrike 是一家专注于云交付终端安全的网络安全公司,成立于2011年,总部位于美国。其旗舰产品 Falcon 是一款基于云的终端安全平台,旨在帮助企业防御各种网络威胁,包括恶意软件、勒索软件、零日漏洞攻击等。CrowdStrike Falcon 以其先进的威胁检测、预防和响应能力而闻名,其下一代防病毒软件 (NGAV) 使用机器学习和行为分析来应对广泛的威胁。
图2:CrowdStrike的标志,象征着这家网络安全公司的品牌形象
CrowdStrike Falcon 的一大特色是其轻量级的代理程序(Agent),该程序需要安装在所有受保护的设备上,并与CrowdStrike的云平台进行通信。然而,正是这个看似不起眼的代理程序,成为了此次全球宕机事件的罪魁祸首。
根据CrowdStrike官方发布的公告,此次事件是由于7月19日发布的一个Falcon Sensor产品更新中包含一个“内容更新缺陷”导致的。该缺陷影响了Windows主机,而Mac和Linux主机则不受影响。CrowdStrike强调,这不是一起安全事件或网络攻击。
CrowdStrike 在一份官方声明中表示:“CrowdStrike 正在积极与受单一内容更新缺陷影响的 Windows 主机客户合作。Mac 和 Linux 主机不受影响。这不是安全事件或网络攻击。”
事件回顾:从蓝屏到系统瘫痪,这场全球性IT灾难是如何发生的?
7月19日凌晨(美国东部时间),CrowdStrike开始向全球用户推送Falcon Sensor产品更新。然而,这个看似例行的更新,却在短短几个小时内演变成了一场全球性的IT灾难。
随着越来越多的用户受到影响,CrowdStrike意识到问题的严重性,并于美国东部时间凌晨1:20 发布了一份支持说明,承认了问题的存在,并表示正在进行调查。CrowdStrike 在技术警报中表示:“症状包括主机遇到与 Falcon Sensor 相关的错误检查\蓝屏错误”。
图3:Downdetector 网站显示微软服务出现故障,反映了此次事件的波及范围
然而,此时此刻,全球已经有成千上万的Windows系统陷入瘫痪,许多企业和机构的业务运营被迫中断。受影响的计算机正在经历崩溃、启动循环和广泛的系统故障。
影响深远:航空、交通、媒体……多个行业遭受重创
此次CrowdStrike安全更新故障事件,对全球多个行业造成了严重影响,其中尤以航空、交通、媒体等行业为甚。
• 航空业:美国航空、联合航空、达美航空等多家航空公司的信息系统出现故障,导致航班延误、取消甚至停飞。乘客滞留机场,怨声载道。这个问题产生了许多深远的影响,包括美国飞机停飞。
• 交通运输业:英国、德国等多个国家的交通运输系统受到影响,列车服务中断、机场航班信息系统瘫痪,交通陷入混乱,民众出行受到严重影响。英国的列车服务中断。
• 媒体行业:英国天空新闻、美国有线电视新闻网(CNN)等多家媒体机构的系统瘫痪,无法正常播出节目,新闻传播受到阻碍。
• 医疗行业: 许多医院的急诊部门因系统瘫痪而无法正常运作,甚至有报道称,911急救系统也受到了影响。
• 金融行业: 许多银行的系统也受到了影响,导致客户无法正常进行交易。
• 其他行业:从零售企业到政府部门,无数Windows用户受到影响,业务运营中断,造成巨大经济损失。爱丁堡机场的登机扫描仪出现故障。
图4:Future 公司营销与增长副总裁 Kevin Addley 在肯尼迪国际机场拍摄到的蓝屏画面,显示了此次事件的现实影响
CrowdStrike回应:承认故障,提供临时解决方案,但问题远未结束
面对全球用户的质疑和声讨,CrowdStrike迅速做出了回应。该公司承认了故障的存在,并发布了公告,解释了故障原因,并提供了一个临时解决方案:
“CrowdStrike 已识别出与该问题相关的 Windows 主机内容部署,并已还原这些更改。
解决方案步骤:
将 Windows 引导至安全模式或 Windows 恢复环境
导航到 C:\Windows\System32\drivers\CrowdStrike 目录
找到与“C-00000291*.sys”匹配的文件,并将其删除。
正常启动主机。”
CrowdStrike 正在积极努力在全球范围内恢复有问题的更新。该公司已向客户发布了一份公告,称:“CrowdStrike 已经意识到与 Falcon Sensor 相关的 Windows 主机崩溃报告”。同时, CrowdStrike 表示问题已经得到识别和隔离,并且已经部署了修复程序。他们建议客户参考支持门户以获取最新更新,并将继续在其网站上提供完整和持续的更新。
然而,对于许多受影响的用户来说,这个临时解决方案并不容易实现。许多企业和机构的系统管理员不得不加班加点,手动修复每一台受影响的电脑,这无疑是一项耗时耗力的工作。大规模解决此问题具有挑战性,因为它需要逐个系统进行手动干预。
此外,该事件还引发了人们对CrowdStrike安全性和可靠性的质疑。作为一家专业的网络安全公司,CrowdStrike本应为用户提供安全可靠的产品和服务,然而此次事件却暴露出其在产品质量控制和更新测试方面存在严重漏洞。
反思与警示:过度依赖单一安全厂商的风险
此次CrowdStrike安全更新故障事件,为全球用户敲响了警钟:过度依赖单一安全厂商,存在巨大的系统性风险。
当一个企业的安全系统完全依赖于一家厂商的产品时,一旦该厂商的产品出现问题,就会导致整个安全系统的崩溃。这种“把所有鸡蛋放在一个篮子里”的做法,无疑是极其危险的。
事实上,在网络安全领域,多元化策略一直是被广泛认可和推崇的。企业和机构应该选择多家厂商的产品和服务,构建多层次的安全防御体系,才能有效降低安全风险。
合规性检查 vs 实际安全风险:如何找到平衡点?
此次事件也引发了关于合规性检查与实际安全风险之间平衡的讨论。许多企业为了满足合规性要求,盲目地安装各种安全软件,而忽视了这些软件本身可能带来的风险。
正如一位网友在Hacker News上的评论中所说:“到处都是将合规性检查优先于实际风险的情况。” 企业更害怕的是无法通过审计,而不是底层系统故障的后果,而这些审计原本是为了保护这些系统。
AI时代,如何守护安全?
此次事件也让我们思考,在 AI 时代,我们该如何守护安全?AI 系统的安全性和可靠性依赖于其底层软件和硬件基础设施的安全性。一个看似微不足道的软件漏洞,都可能被攻击者利用来攻击 AI 系统,例如数据投毒、模型窃取等。
图5:CrowdStrike博客文章“CrowdStrike 统一威胁数据和 AI,打造新一代托管检测和响应”的配图,强调了人工智能在网络安全中的作用
为了确保 AI 系统的安全性和可靠性,我们需要:
• 加强软件和硬件基础设施的安全性: 采用更安全的软件开发方法,例如使用内存安全的编程语言,进行更严格的代码审查和测试,并及时修复安全漏洞。
• 构建多层次的安全防御体系: 不要过度依赖单一安全厂商,选择多家厂商的产品和服务,构建多层次的安全防御体系,才能有效降低安全风险。
• 提高安全意识,加强安全培训: 企业和机构应该加强员工的安全意识培训,让员工了解网络安全的重要性,掌握基本的网络安全知识,避免成为网络攻击的受害者。
• 关注AI系统特有的安全风险: 除了传统的网络安全风险之外,AI 系统还面临着一些特有的安全风险,例如数据投毒、模型窃取等。我们需要关注这些风险,并采取相应的措施来防范。
关于 AI 安全性的评估和观点:
• AI 安全性与合规性之间的冲突: 一些评论者指出,现有的合规性标准可能不足以应对 AI 系统的安全风险。例如,强制要求使用特定安全软件可能导致过度依赖单一厂商,从而增加系统性风险。
• AI 系统的复杂性加剧了安全挑战: AI 系统的复杂性使得测试和验证其安全性变得更加困难。传统的软件测试方法可能不足以发现 AI 系统中潜在的漏洞,需要开发新的测试方法和工具。
• AI 可被用于增强安全性: 尽管 AI 系统本身存在安全风险,但 AI 技术也可以被用于增强安全性。例如,AI 可以用于检测和防御网络攻击,分析安全日志,识别潜在的安全威胁等。
事件思考
1. 合规性检查凌驾于实际安全风险之上:许多企业优先考虑通过合规性检查,而不是解决实际的安全风险。
2. 对单一安全厂商的过度依赖:对 CrowdStrike 等单一安全厂商的过度依赖,导致了大规模的系统性风险。
3. 安全更新测试不足:CrowdStrike 未能对其更新进行充分测试,导致了灾难性的后果。
4. 自动更新的风险:自动更新功能虽然方便,但也可能带来严重风险,尤其是在未经充分测试的情况下。
5. 微软的责任:微软被指责未能有效隔离第三方软件对内核的访问权限,从而导致了系统崩溃。
6. 呼吁转向Linux:一些用户呼吁将关键系统迁移到 Linux,以避免类似事件再次发生。
7. 软件质量问题:此次事件凸显了软件行业普遍存在的质量问题,以及对更严格的测试和质量控制的需求。
8. 对CrowdStrike的经济影响:此次事件对 CrowdStrike 的声誉和经济造成了巨大损害,其股价大幅下跌。
9. 对全球经济的影响:此次事件导致全球多个行业损失惨重,经济损失可能高达数十亿美元。
10. 对未来安全策略的影响:此次事件将促使企业和机构反思其安全策略,并采取措施避免类似事件再次发生。
相关链接
• CrowdStrike官网: https://www.crowdstrike.com/
• CrowdStrike Blog: Statement on Windows Sensor Update: https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
