個周末,全球IT行業(yè)“很忙”。
由于網(wǎng)絡(luò)安全公司CrowdStrike技術(shù)更新中的“bug”,導(dǎo)致“微軟藍屏”并引發(fā)了全球宕機事故,多地基礎(chǔ)設(shè)施、服務(wù)業(yè)遭到嚴重影響——數(shù)千航班被取消、部分金融交易被中斷、多個城市醫(yī)療服務(wù)延遲、特斯拉等大型企業(yè)生產(chǎn)線停工……
或許是因為萬物互聯(lián)時代“牽一發(fā)而動全身”,抑或是微軟擁有龐大的客戶群體,業(yè)界將此事形容為“史上最大規(guī)模IT宕機”,甚至堪稱“千年蟲事件”的加強版。為什么CrowdStrike能憑“一己之力”造成如此大規(guī)模影響?此事暴露了哪些安全風險隱患?給互聯(lián)網(wǎng)行業(yè)發(fā)展帶來哪些啟示?
“可與WannaCry蠕蟲事件相提并論”
從北京時間2024年7月19日(周五)下午2點多開始,全球大量Windows用戶出現(xiàn)電腦崩潰、藍屏死機、無法重啟等情況。事發(fā)后,網(wǎng)絡(luò)安全公司CrowdStrike稱,收到大量關(guān)于Windows電腦出現(xiàn)藍屏報告,公司工程部已確定該問題與“內(nèi)容部署”有關(guān)。
7月21日凌晨,CrowdStrike就全球IT故障發(fā)布最新聲明稱,已了解問題是如何發(fā)生的,正在進行徹底的根源分析,以確定邏輯缺陷是如何出現(xiàn)的。CrowdStrike的首席執(zhí)行官喬治·庫爾茨也在社交媒體上表示,此事并非安全事件或網(wǎng)絡(luò)攻擊。
據(jù)央視新聞報道,該事件已致美國超2000架次航班停飛。美國聯(lián)合包裹運送服務(wù)公司和聯(lián)邦快遞也表示,盡管其航空公司在正常運營,但由于電腦系統(tǒng)故障,快遞仍有可能會出現(xiàn)延誤。
此外,倫敦等地幾家主要石油、天然氣交易部門因網(wǎng)絡(luò)故障難以執(zhí)行交易;澳大利亞的國民銀行、電信公司Telstra等都出現(xiàn)了無法登錄或交易情況;特斯拉、星巴克、埃克森美孚等企業(yè)均表示受到影響。
據(jù)了解,CrowdStrike公司成立于2011年,是全球知名的下一代終端安全廠商。在世界500強企業(yè)中,有271家是CrowdStrike的客戶,包括微軟、亞馬遜等,以及美國不少政府機構(gòu)都使用其軟件。此事也給CrowdStrike的股價帶來了重創(chuàng),當?shù)貢r間7月19日,其美股收跌11%,市值一夜蒸發(fā)近百億美元,創(chuàng)下2022年以來最差單日表現(xiàn)。
“此事發(fā)生時,亞太地區(qū)是白天,歐美地區(qū)是夜晚,最初社交媒體上的反饋主要是日本、澳大利亞等地,但后面大批歐美用戶也出現(xiàn)了服務(wù)中斷反饋,很多受影響的企業(yè)不得不‘提前放假’。”奇安信安全專家汪列軍說。
“從給全球帶來的影響看,這次可以‘直追’2017年的‘WannaCry’勒索蠕蟲事件,也暴露出了全球安全領(lǐng)域存在因軟件更新機制不規(guī)范,導(dǎo)致業(yè)務(wù)停滯等系統(tǒng)性風險。”安恒信息研究院院長王欣這樣說。
汪列軍也認為,本次IT系統(tǒng)中斷事件的影響,一定會被記入“史冊”,可以與“WannaCry”勒索蠕蟲事件“相提并論”。
本次安全事故對中國影響不大
“技術(shù)越進步,社會越發(fā)展,可能衍生的風險越大。‘一行代碼’導(dǎo)致的重大損失事件歷史上時有發(fā)生。”數(shù)世咨詢創(chuàng)始人、中國網(wǎng)絡(luò)空間安全協(xié)會專家李少鵬表示,在數(shù)字化轉(zhuǎn)型過程中,互聯(lián)網(wǎng)普及率越來越高,伴生安全相關(guān)事件的幾率也會隨之增長。
事實上,藍屏事件在微軟曾多次出現(xiàn):在1998年發(fā)布Windows 98測試版時,就發(fā)生過藍屏事件;后續(xù)隨著Windows XP系統(tǒng)發(fā)布,藍屏情況更加頻繁;2015年Windows 10發(fā)布之初,部分用戶也有報告過藍屏情況。相比之下,以往情況更加“局部”“小范圍”,且產(chǎn)生的影響也不能和本次同日而語。
雖然這兩天“藍屏”登上國內(nèi)社交媒體熱搜榜,并成為全網(wǎng)熱議的話題。但從目前情況來看,中國所受的影響并不大。
汪列軍透露,從奇安信的應(yīng)急響應(yīng)情況及數(shù)據(jù)來看,中國CrowdStrike軟件裝機量在十萬級到百萬級之間,用戶主要集中在北京、上海、廣州、深圳等一線城市。受影響的主要是外企或外企在中國的分支機構(gòu),對于中國的政府部門、央國企以及大部分的大型民企影響不大。
“CrowdStrike的EDR/XDR工具能力很不錯,但其在中國沒有可以給客戶交付服務(wù)的能力,因此很難在中國發(fā)展客戶。”亞信安全首席研發(fā)官吳湘寧解釋說,中國國內(nèi)的軟件環(huán)境與國外大不相同,操作系統(tǒng)方面有很多是國產(chǎn)化系統(tǒng)。此外,在應(yīng)用軟件層面,類似WPS、企業(yè)微信、釘釘?shù)绕髽I(yè)推出的軟件也與國外不同,CrowdStrike等海外安全產(chǎn)品對中國企業(yè)應(yīng)用沒有很深入理解,很難給中國客戶提供有效解決方案。
7月19日,在墨西哥首都墨西哥城的貝尼托·華雷斯國際機場,許多航班被延誤或取消,大量旅客在機場等待。新華社發(fā)(弗朗西斯科·卡涅多攝)
核心驅(qū)動“惹禍”導(dǎo)致系統(tǒng)性風險
事發(fā)后的第二天,汪列軍所在研究團隊很快推出了一份詳實的《CrowdStrike導(dǎo)致全球性IT基礎(chǔ)設(shè)施中斷事件分析報告》。文中指出,導(dǎo)致本次事故的“禍首”是CrowdStrike公司的核心產(chǎn)品——Falcon平臺核心組件驅(qū)動程序部分功能。
Falcon平臺是完全基于云端部署的SaaS模型。平臺通過一個輕量級的代理架構(gòu),實現(xiàn)快速且可擴展的部署,并提供高級別的保護和性能。此外,F(xiàn)alcon平臺還集成了多種功能,比如,文件完整性監(jiān)控、云安全、身份保護等。
“從Falcon軟件的安裝量初步估計,已導(dǎo)致難以計數(shù)的Windows系統(tǒng)不可用,電腦只要啟動就會藍屏,且沒有自動化措施可以執(zhí)行批量集中修復(fù),只能一臺臺的手工操作解決問題。所以,恢復(fù)過程會很消耗時間,預(yù)計完全恢復(fù)需要以周來計。”汪列軍說。
吳湘寧也提到,“藍屏”恢復(fù)過程中,面臨著不少挑戰(zhàn)——受攻擊設(shè)備需要逐一手動修復(fù),不但效率低下,而且有些場景恢復(fù)需要特殊密鑰,這個過程更加復(fù)雜;此外,一些受影響的設(shè)備直接關(guān)聯(lián)了關(guān)鍵性行業(yè)和基礎(chǔ)設(shè)施,比如,政府部門、銀行、醫(yī)療機構(gòu)等,后續(xù)衍生、連帶了不少問題。
以上汪列軍、吳湘寧的分析,一定程度上也解釋了這個“忙碌周末”的緣故。在突如其來的危機中,CrowdStrike內(nèi)核驅(qū)動問題暴露了在安全解決方案選擇上的潛在風險。
“在網(wǎng)絡(luò)安全領(lǐng)域,內(nèi)核驅(qū)動方案一旦出現(xiàn)問題,后果可能是災(zāi)難性的!我們必須選擇經(jīng)過嚴格測試、擁有高可靠性的安全解決方案。” 全國信息安全標準化技術(shù)委員會專家、青藤云安全COO程度介紹,此次事件主要是CrowdStrike的驅(qū)動程序和Windows操作系統(tǒng)出現(xiàn)了沖突導(dǎo)致的問題,背后原因可能是因為不兼容、驅(qū)動程序之間有沖突、驅(qū)動程序可能觸發(fā)內(nèi)核“bug”等。
除了關(guān)注驅(qū)動的“bug”,汪列軍認為,還要重視產(chǎn)品的測試發(fā)布流程。此事件在發(fā)布測試流程上也存在很大問題,其一次性全部更新到用戶設(shè)備上,就直接導(dǎo)致了“藍屏”。
7月19日,在加拿大多倫多比利·畢曉普機場,一名波特航空公司的工作人員用手機顯示因技術(shù)故障取消航班的網(wǎng)絡(luò)通知。新華社發(fā)(鄒崢攝)
“安全!安全!安全!必須是重中之重”
看似是因為技術(shù)故障引發(fā)的一場“全球混亂”,實際卻突顯了現(xiàn)代社會對于信息技術(shù)的依賴性及其相應(yīng)的脆弱性。“因此,在操作系統(tǒng)層面,應(yīng)該設(shè)計得更加健壯,以便可以更好應(yīng)對此類問題。”王欣說。
“一定要明確,安全是重中之重!網(wǎng)絡(luò)安全是每個組織不可或缺的一部分,尤其數(shù)字時代,安全不僅僅是一個技術(shù)問題,更是一個業(yè)務(wù)問題。” 程度認為,選擇正確的技術(shù)解決方案,是確保安全的第一步。
比如,在安全產(chǎn)品技術(shù)路線選擇上,通常軟件開發(fā)包括內(nèi)核態(tài)和用戶態(tài),前者擁有更高的系統(tǒng)權(quán)限,可以直接訪問硬件,但劣勢在于錯誤的驅(qū)動可能危及整個系統(tǒng)的穩(wěn)定性、安全性。從目前情況來看,CrowdStrike應(yīng)該是在內(nèi)核態(tài)下導(dǎo)致的問題,如果采用非內(nèi)核態(tài)的形式,出現(xiàn)這類問題的概率會低很多。
“即使是非常成熟的技術(shù)平臺,也可能遭遇意外故障。由此可見,業(yè)務(wù)穩(wěn)定和網(wǎng)絡(luò)安全既是技術(shù)問題,更是管理、戰(zhàn)略問題,需全面綜合考慮各種因素。”汪列軍提到了行業(yè)里那句老話——“能力越大,責任也越大”。
對于安全廠商而言,涉及系統(tǒng)穩(wěn)定性的軟件廠商需要對產(chǎn)品有更嚴格的質(zhì)量管理;還要做好升級策略,在升級過程中要控制影響范圍,俗稱“爆炸半徑”,掌控好升級策略,確保“灰度升級”,控制放量節(jié)奏。
對于安全產(chǎn)品使用者而言,要選擇有實力、有信用的安全廠商;在部署終端安全軟件過程中,要對資產(chǎn)做好分類、分級,對于關(guān)鍵資產(chǎn)設(shè)置單獨的管理單元,并設(shè)置“灰度”或延遲更新的策略。
李少鵬表示,我們要一起做好一件事——“風險認知前移”。也就是說,不能等到事情發(fā)生后再亡羊補牢,應(yīng)該對數(shù)字風險有一定的認知,做到未雨綢繆,從而當風險變成現(xiàn)實威脅時,才能更好地響應(yīng)。
在這個周末里,有人忙著修復(fù)電腦,有人在推進追責,有人在分析反思。隨著這次技術(shù)問題得到逐步解決,藍屏等情況也在慢慢緩解。一個小小“bug”,竟能讓這么多全球業(yè)務(wù)停擺,深刻說明了數(shù)字時代的脆弱與風險,也再次提醒了我們安全的重要性。
撰文:李政葳 李飛 曾震宇
編輯/排版:李汶鍵
光明網(wǎng)出品
來源: 世界互聯(lián)網(wǎng)大會
IT之家 7 月 19 日消息,科技媒體 Windows Latest 昨日(7 月 18 日)發(fā)布博文,匯總網(wǎng)友反饋的信息,報告微軟 Windows 11 七月累積更新 KB5040442 存在安裝失敗、拖慢系統(tǒng)性能等問題。
根據(jù)網(wǎng)友的反饋,在安裝 Windows 11 七月累積更新 KB5040442 過程中,遇到 0x80d02002、0x800f081f、0x80073cf3 等錯誤。
一位網(wǎng)友反饋,連續(xù)安裝 3 次 KB5040442 更新,每次都會報告 0x80d02002 錯誤。
另一位網(wǎng)友從 Microsoft Catalog Update 下載更新,手動安裝更新也失敗了。
Windows 11 用戶還反饋安裝七月累積更新 KB5040442 之后,出現(xiàn)了拖慢性能、循環(huán)重啟、卡死在修復(fù)模式(最終藍屏)的問題。
此外還有一位 Reddit 用戶,在更新之后電腦和虛擬機變磚,IT之家搜索相關(guān) BUG 反饋,目前僅為個例,尚不清楚是否有其他用戶也遇相同問題。
還有用戶反饋在淺色模式下,文件管理器中選中文件、文件夾會出現(xiàn)黑色邊框。
根據(jù)用戶報告,該更新還存在其他錯誤:
更新會將 Windows Spotlight 的壁紙更改為純黑色,但可以手動還原。
重啟過程中會出現(xiàn)“任務(wù)主機窗口正在停止后臺任務(wù)”信息,但選擇“Restart anyway”可以正常運行。