商业热点 > 商业洞察 > -史上最大IT事故-初步调查报告 - 97%受影响系统已恢复 -元凶-竟只是一次常规更新?

【CrowdStrike】-史上最大IT事故-初步调查报告 - 97%受影响系统已恢复 -元凶-竟只是一次常规更新?

查看信息来源】   发布日期:7-26 17:57:58    文章分类:商业洞察   
专题:CrowdStrike】 【Windows】 【传感器


K图 CRWD_0

  上周五(7月19日),美国网安巨头CrowdStrike的一次软件更新事故引发了“史上最大IT中断事故”:全球850万台Windows计算机溃散。这一事件引发全球IT系统中断,大量航班停飞,企业停摆。

  北京时间本周五,在事故发生一周后,此次事故的始作俑者——Crowdstrike在其官方网站发布了此次事故的初步调查报告,解释这一事故的发生根源,只是一次“常规运营更新”的失误。

  CrowdStrike还通报称,截至 太平洋 时间7月24日下午5点(北京时间7月24日8点),与内容更新之前相比,已经有超过97%的Windows 传感器 恢复在线。

  CrowdStrike所说的Windows 传感器 是指其面向Windows全面的网安平台Falcon的 传感器 。这意味着,在上周CrowdStrike更新事故造成瘫痪的850万台Windows电脑中,绝大部分电脑的Windows系统和Falcon网安系统已经恢复正常运行。

  CrowdStrike 总裁在领英上表示:“我们知道我们的工作尚未完成,我们仍致力于恢复每个受影响的系统。对于仍然受到影响的顾客,请知道我们不会休息,直到我们完全恢复…我对此次中断造成的破坏深感抱歉,并向所有受影响的人亲自道歉。” image

  据保险公司Parametrix称,此次IT中断持续了数天,给全球财富500强企业造成了约54亿美元的损失。自上周五的事故以来,CrowdStrike的股票价格已累计下跌约25%。

  为啥Falcon会触发这样严峻的事故?

  Falcon是Crowdstrike旗下最为王牌的 网络安全 平台产品。为了更好地理解此次事故,我们需要先理解Falcon的防御机制。

  Falcon是一种“端点检测和响应”(EDR)软件。它的作用是利用 传感器 来监控安置它的计算机上发生的所有情况,寻找恶意活动的迹象,并即时、灵活地进行响应。

  打个比方。如果把一台电脑系统比喻成一个小区,那么以往的防火墙就类似于守在小区大门的门卫,杀毒软件就类似于小区保安,他们会检查识别进入小区的可疑人物(尤其是已知的坏人),并将其赶出小区。但他们通常只会根据已知的攻击特征来识别要挟,面对顶级要挟、未知要挟时可能存在安全漏洞。

  而Falcon等EDR软件就类似于小区的智能监控系统, 传感器 就是安置在小区各个角落的摄像头,他们时刻监控小区的每一个角落,关注小区里每一个人的一举一动,并在发现任何可疑情况(好比看到小区中的某个人在与疑似黑客联系)时利用 人工智能大数据 等技术进行研究分析、判断和预测要挟,并且灵活自主地进行相应措施。

  因此,EDR软件对于网络要挟的防御能力要比传统网安系统更强,而且在面对要挟时所能采取的应对方式也比传统网安软件更灵活和智能。

  好比传统网安软件通常在检测到病毒时,只能将受感染的文件隔离或删除;而EDR软件在检测到电脑可能正在和疑似黑客通信时,它可以自主地关闭通信系统,或是在发现某个系统出现疑似异常操作时,会提前预测要挟并提高监控等级。

  相比于以往的杀毒软件,Falcon显然更加全面和智能,但同时,因为它需要对计算机进行大量的详细监控(包含监控计算机通过互联网发送的通信、正在运行的程序、正在打开的文件等等),它对于许多内部系统都拥有访问权——换句话而言,Falcon与微软Windows全面的联系更加紧密,其系统权限也比传统网安系统要高得多。

  因此,一旦Falcon该类EDR软件出现故障,就更容易引发Windows系统整个瘫痪——上周五的全球Windows系统电脑大范围瘫痪事件就是实例。

  CrowdStrike详细回顾事件起因

  在事故发生一周后,CrowdStrike最近发布了此次事故的初步审查报告,解释了该次事故的具体经过。

  CrowdStrike在报告中写道,在北京时间2024年7月19日12:09,CrowdStrike发布了一次Windows 传感器 的内容配置更新,以收集有关潜在新要挟技术的遥测数据。这次更新只是CrowdStrike的一次常规运营更新,根据官方的说法,类似的更新每天都会进行好几次。

  但万万匪夷所思的是,该次更新令北京时间12:09至13:27之间在线的Windows系统集体触发了溃散(蓝屏死机)。CrowdStrike强调,Mac和Linux主机不受影响,在此期间未在线或未连接的Windows主机也不受影响。

  之所以触发溃散,是由于更新内容中存在缺陷,而在Crowdstrike验证检查期间未检测到该缺陷。当Falcon 传感器 加载该更新内容时,该缺陷会造成内存读取越界,从而造成Windows溃散。

  在北京时间7月19日13:27,该内容更新中的缺陷已修复。在此时间之后上线的系统或在此时间段内未连接的系统不受到上述的溃散影响。

  CrowdStrike表示,未来将会加强软件测试流程,优化错误处理机制,精细化部署策略,采用第叁方验证等措施,以避免类似事件再次发生。

  除了初步的事情审查报告外,CrowdStrike承诺,一旦调查完成,将公开发布完整的核心原因分析。 image

手机扫码浏览该文章
 ● 相关商业动态
 ● 相关商业热点
人形机器人】  【AI应用】  【传感器】  【生产力】  【理想汽车】  【Pro】  【收费标准】  【雷特科技】  【计算机】  【发明专利】