周四晚上,CrowdStrike的一次错误配置内容更新意外导致微软Windows系统大规模停机,影响了全球许多重要服务。
CrowdStrike原本计划更新其Falcon传感器使用的内容,该传感器通过监控系统活动以识别可疑行为,从而实现实时威胁检测和端点保护。此次更新旨在基于最新的持续收集的威胁情报,提高对恶意活动的检测能力。CrowdStrike首席执行官兼创始人乔治·库尔茨在接受CNBC采访时解释说:“这不是代码更新,而是内容更新。推送的一个文件用于增强识别恶意行为的逻辑,导致了仅在微软环境下的问题。”
全球即时影响
停机问题最早在澳大利亚被发现,Windows机器崩溃,并导致著名的蓝屏死机(BSOD)现象。这次错误更新使全球Windows系统完全停机,许多依赖Windows平台的机场、航空公司、银行和服务公司受到了影响。据《华尔街日报》援引FlightAware的数据,约有2600个美国航班和超过4200个国际航班被取消,数十万名旅客因而滞留。
这一影响波及微软的Azure云平台,客户报告Windows机器在使用CrowdStrike Falcon代理时遭遇无响应和启动失败。Azure健康状态显示,停机仍在影响美洲、欧洲、亚太地区以及中东和非洲的虚拟机。
IT团队面临艰难的周末和接下来的一个月,许多云配置需要针对每个客户进行特定更新。在问题解决前,推迟重大项目可能是明智之举。
提高网络韧性的呼吁
网络韧性对企业至关重要,使其能够预测、承受并从不利情境中恢复,包括网络攻击和系统妥协。首席信息安全官(CISO)必须将网络韧性视为高层管理和董事会责任的重要组成部分。
“每个企业都有更新补丁的挑战。今天对CrowdStrike来说是艰难的一天,影响了许多人。需要客户应对错误配置带来的问题,延长了响应和补救时间,”Reco的CISO梅里特·贝尔表示。
Trustwave的CISO科里·丹尼尔斯提到,董事会越来越质疑首席韧性官的必要性,反映出将网络韧性整合到风险管理协议中的趋势。高调的勒索软件攻击展示了企业在复杂供应链中面临的严重后果。
错误配置强调了在公司运营中嵌入强大网络韧性的必要性。历史证明,这类配置可能导致全球范围的大规模停机,这是我们快节奏、互联数字环境下的现实。
“此次停机事件突显了一次国家缺乏足够网络安全措施所导致的国家赞助网络攻击的潜在影响,”贝尔强调。有关国家网络韧性的见解,请参考美国情报界的2024年年度威胁评估。
要建立有效的网络韧性,组织需要快速识别问题,定义可自动化的解决方案,并与所有受影响方保持清晰的沟通。报告应准确、可获取且及时,使每一个相关者都能对结果负责。
“CrowdStrike迅速采取行动,确定停机的根本原因并通知客户,这是值得称道的,他们首席执行官的透明度也得到了高度重视,”JFrog的现场CISO保罗·戴维斯评论道。
库尔茨在社交媒体上持续发布更新,并承诺提供停机原因的详细分析。
恢复步骤
CrowdStrike已发布指导,帮助受停机影响的系统恢复。用户应首先以安全模式启动受影响的机器,因为所需的Falcon传感器更新位于Windows操作系统的一个子目录中。如果机器使用BitLocker或全盘加密,相关的恢复密钥将是必需的。
CrowdStrike建议的恢复步骤包括:
- 详细信息请访问CrowdStrike官方网站。
网络韧性——信任的标志
“安全供应商必须意识到他们在影响客户结果方面的责任。我预计CrowdStrike未来会采取更谨慎的更新方式,”贝尔表示。持续的干扰影响了无数人的生活,令企业停滞不前,显然网络韧性必须成为客户体验的基本要素,而不仅仅是一项安全倡议。
赢得和保持客户信任在很大程度上依赖于公司的网络韧性。这一事件为各组织评估其应对类似挑战的准备情况提供了重要时刻。
考虑到全球系统内错综复杂的相互连接,未来的停机是不可避免的。所有公司都需要主动提升他们的网络韧性,而不是等到下一次危机来临。
排行榜
