這個周末,全球IT行業“很忙”。
由于網絡安全公司CrowdStrike技術更新中的“bug”,導致“微軟藍屏”并引發了全球宕機事故,多地基礎設施、服務業遭到嚴重影響——數千航班被取消、部分金融交易被中斷、多個城市醫療服務延遲、特斯拉等大型企業生產線停工……
或許是因為萬物互聯時代“牽一發而動全身”,抑或是微軟擁有龐大的客戶群體,業界將此事形容為“史上最大規模IT宕機”,甚至堪稱“千年蟲事件”的加強版。為什么CrowdStrike能憑“一己之力”造成如此大規模影響?此事暴露了哪些安全風險隱患?給互聯網行業發展帶來哪些啟示?
“可與WannaCry蠕蟲事件相提并論”
從北京時間2024年7月19日(周五)下午2點多開始,全球大量Windows用戶出現電腦崩潰、藍屏死機、無法重啟等情況。事發后,網絡安全公司CrowdStrike稱,收到大量關于Windows電腦出現藍屏報告,公司工程部已確定該問題與“內容部署”有關。
7月21日凌晨,CrowdStrike就全球IT故障發布最新聲明稱,已了解問題是如何發生的,正在進行徹底的根源分析,以確定邏輯缺陷是如何出現的。CrowdStrike的首席執行官喬治·庫爾茨也在社交媒體上表示,此事并非安全事件或網絡攻擊。
據央視新聞報道,該事件已致美國超2000架次航班停飛。美國聯合包裹運送服務公司和聯邦快遞也表示,盡管其航空公司在正常運營,但由于電腦系統故障,快遞仍有可能會出現延誤。
此外,倫敦等地幾家主要石油、天然氣交易部門因網絡故障難以執行交易;澳大利亞的國民銀行、電信公司Telstra等都出現了無法登錄或交易情況;特斯拉、星巴克、埃克森美孚等企業均表示受到影響。
據了解,CrowdStrike公司成立于2011年,是全球知名的下一代終端安全廠商。在世界500強企業中,有271家是CrowdStrike的客戶,包括微軟、亞馬遜等,以及美國不少政府機構都使用其軟件。此事也給CrowdStrike的股價帶來了重創,當地時間7月19日,其美股收跌11%,市值一夜蒸發近百億美元,創下2022年以來最差單日表現。
“此事發生時,亞太地區是白天,歐美地區是夜晚,最初社交媒體上的反饋主要是日本、澳大利亞等地,但后面大批歐美用戶也出現了服務中斷反饋,很多受影響的企業不得不‘提前放假’。”奇安信安全專家汪列軍說。
“從給全球帶來的影響看,這次可以‘直追’2017年的‘WannaCry’勒索蠕蟲事件,也暴露出了全球安全領域存在因軟件更新機制不規范,導致業務停滯等系統性風險。”安恒信息研究院院長王欣這樣說。
汪列軍也認為,本次IT系統中斷事件的影響,一定會被記入“史冊”,可以與“WannaCry”勒索蠕蟲事件“相提并論”。
本次安全事故對中國影響不大
“技術越進步,社會越發展,可能衍生的風險越大。‘一行代碼’導致的重大損失事件歷史上時有發生。”數世咨詢創始人、中國網絡空間安全協會專家李少鵬表示,在數字化轉型過程中,互聯網普及率越來越高,伴生安全相關事件的幾率也會隨之增長。
事實上,藍屏事件在微軟曾多次出現:在1998年發布Windows 98測試版時,就發生過藍屏事件;后續隨著Windows XP系統發布,藍屏情況更加頻繁;2015年Windows 10發布之初,部分用戶也有報告過藍屏情況。相比之下,以往情況更加“局部”“小范圍”,且產生的影響也不能和本次同日而語。
雖然這兩天“藍屏”登上國內社交媒體熱搜榜,并成為全網熱議的話題。但從目前情況來看,中國所受的影響并不大。
汪列軍透露,從奇安信的應急響應情況及數據來看,中國CrowdStrike軟件裝機量在十萬級到百萬級之間,用戶主要集中在北京、上海、廣州、深圳等一線城市。受影響的主要是外企或外企在中國的分支機構,對于中國的政府部門、央國企以及大部分的大型民企影響不大。
“CrowdStrike的EDR/XDR工具能力很不錯,但其在中國沒有可以給客戶交付服務的能力,因此很難在中國發展客戶。”亞信安全首席研發官吳湘寧解釋說,中國國內的軟件環境與國外大不相同,操作系統方面有很多是國產化系統。此外,在應用軟件層面,類似WPS、企業微信、釘釘等企業推出的軟件也與國外不同,CrowdStrike等海外安全產品對中國企業應用沒有很深入理解,很難給中國客戶提供有效解決方案。
7月19日,在墨西哥首都墨西哥城的貝尼托·華雷斯國際機場,許多航班被延誤或取消,大量旅客在機場等待。新華社發(弗朗西斯科·卡涅多攝)
核心驅動“惹禍”導致系統性風險
事發后的第二天,汪列軍所在研究團隊很快推出了一份詳實的《CrowdStrike導致全球性IT基礎設施中斷事件分析報告》。文中指出,導致本次事故的“禍首”是CrowdStrike公司的核心產品——Falcon平臺核心組件驅動程序部分功能。
Falcon平臺是完全基于云端部署的SaaS模型。平臺通過一個輕量級的代理架構,實現快速且可擴展的部署,并提供高級別的保護和性能。此外,Falcon平臺還集成了多種功能,比如,文件完整性監控、云安全、身份保護等。
“從Falcon軟件的安裝量初步估計,已導致難以計數的Windows系統不可用,電腦只要啟動就會藍屏,且沒有自動化措施可以執行批量集中修復,只能一臺臺的手工操作解決問題。所以,恢復過程會很消耗時間,預計完全恢復需要以周來計。”汪列軍說。
吳湘寧也提到,“藍屏”恢復過程中,面臨著不少挑戰——受攻擊設備需要逐一手動修復,不但效率低下,而且有些場景恢復需要特殊密鑰,這個過程更加復雜;此外,一些受影響的設備直接關聯了關鍵性行業和基礎設施,比如,政府部門、銀行、醫療機構等,后續衍生、連帶了不少問題。
以上汪列軍、吳湘寧的分析,一定程度上也解釋了這個“忙碌周末”的緣故。在突如其來的危機中,CrowdStrike內核驅動問題暴露了在安全解決方案選擇上的潛在風險。
“在網絡安全領域,內核驅動方案一旦出現問題,后果可能是災難性的!我們必須選擇經過嚴格測試、擁有高可靠性的安全解決方案。” 全國信息安全標準化技術委員會專家、青藤云安全COO程度介紹,此次事件主要是CrowdStrike的驅動程序和Windows操作系統出現了沖突導致的問題,背后原因可能是因為不兼容、驅動程序之間有沖突、驅動程序可能觸發內核“bug”等。
除了關注驅動的“bug”,汪列軍認為,還要重視產品的測試發布流程。此事件在發布測試流程上也存在很大問題,其一次性全部更新到用戶設備上,就直接導致了“藍屏”。
7月19日,在加拿大多倫多比利·畢曉普機場,一名波特航空公司的工作人員用手機顯示因技術故障取消航班的網絡通知。新華社發(鄒崢攝)
“安全!安全!安全!必須是重中之重”
看似是因為技術故障引發的一場“全球混亂”,實際卻突顯了現代社會對于信息技術的依賴性及其相應的脆弱性。“因此,在操作系統層面,應該設計得更加健壯,以便可以更好應對此類問題。”王欣說。
“一定要明確,安全是重中之重!網絡安全是每個組織不可或缺的一部分,尤其數字時代,安全不僅僅是一個技術問題,更是一個業務問題。” 程度認為,選擇正確的技術解決方案,是確保安全的第一步。
比如,在安全產品技術路線選擇上,通常軟件開發包括內核態和用戶態,前者擁有更高的系統權限,可以直接訪問硬件,但劣勢在于錯誤的驅動可能危及整個系統的穩定性、安全性。從目前情況來看,CrowdStrike應該是在內核態下導致的問題,如果采用非內核態的形式,出現這類問題的概率會低很多。
“即使是非常成熟的技術平臺,也可能遭遇意外故障。由此可見,業務穩定和網絡安全既是技術問題,更是管理、戰略問題,需全面綜合考慮各種因素。”汪列軍提到了行業里那句老話——“能力越大,責任也越大”。
對于安全廠商而言,涉及系統穩定性的軟件廠商需要對產品有更嚴格的質量管理;還要做好升級策略,在升級過程中要控制影響范圍,俗稱“爆炸半徑”,掌控好升級策略,確保“灰度升級”,控制放量節奏。
對于安全產品使用者而言,要選擇有實力、有信用的安全廠商;在部署終端安全軟件過程中,要對資產做好分類、分級,對于關鍵資產設置單獨的管理單元,并設置“灰度”或延遲更新的策略。
李少鵬表示,我們要一起做好一件事——“風險認知前移”。也就是說,不能等到事情發生后再亡羊補牢,應該對數字風險有一定的認知,做到未雨綢繆,從而當風險變成現實威脅時,才能更好地響應。
在這個周末里,有人忙著修復電腦,有人在推進追責,有人在分析反思。隨著這次技術問題得到逐步解決,藍屏等情況也在慢慢緩解。一個小小“bug”,竟能讓這么多全球業務停擺,深刻說明了數字時代的脆弱與風險,也再次提醒了我們安全的重要性。
撰文:李政葳 李飛 曾震宇
編輯/排版:李汶鍵
光明網出品
來源: 世界互聯網大會
Win10無法正常啟動并顯示錯誤代碼0xc0000001通常是由于系統文件損壞、硬件故障或驅動程序問題引起的。以下是詳細的解決步驟:
1、檢查硬件連接:
關閉電腦并斷開電源。
檢查所有硬件連接,特別是內存條(RAM)和硬盤驅動器(HDD/SSD)。
確保內存條插緊,可以嘗試更換插槽。
確保硬盤連接線(SATA或M.2)牢固。
2、進入Windows恢復環境(WinRE):
開機時連續按F8、F11或Shift+F8(具體按鍵因品牌而異)進入高級啟動選項。
選擇“Troubleshoot”(疑難解答)>“Advanced options”(高級選項)。
3、使用啟動修復:
在高級選項中選擇“Startup Repair”(啟動修復)。
系統會自動檢測并嘗試修復啟動問題。
4、使用命令提示符修復系統文件:
在高級選項中選擇“Command Prompt”(命令提示符)。
輸入以下命令并按Enter:
Copy
sfc /scannow
該命令會掃描并修復損壞的系統文件。
還可以使用以下命令修復引導記錄:
Copy
bootrec /fixmbr
bootrec /fixboot
bootrec /scanos
bootrec /rebuildbcd
5、檢查硬盤健康狀態:
在命令提示符中輸入以下命令檢查硬盤健康狀態:
Copy
chkdsk C: /f /r
該命令會檢查并修復硬盤上的錯誤。
6、重置或重新安裝Windows:
如果以上方法無效,可以選擇重置或重新安裝Windows。
在高級選項中選擇“Reset this PC”(重置此電腦),可以選擇保留或刪除個人文件。
7、更新BIOS和驅動程序:
進入BIOS設置(通常按Del、F2或F10鍵)。
檢查并更新BIOS到最新版本。
進入Windows后,更新所有驅動程序,特別是顯卡和主板驅動。
這些步驟應能幫助你解決Win10無法正常啟動并顯示錯誤代碼0xc0000001的問題。如果問題依然存在,可能需要進一步的硬件診斷或專業維修服務。