個周末,全球IT行業“很忙”。
由于網絡安全公司CrowdStrike技術更新中的“bug”�����,導致“微軟藍屏”并引發了全球宕機事故���,多地基礎設施�����、服務業遭到嚴重影響——數千航班被取消�、部分金融交易被中斷���、多個城市醫療服務延遲��、特斯拉等大型企業生產線停工……
或許是因為萬物互聯時代“牽一發而動全身”�����,抑或是微軟擁有龐大的客戶群體,業界將此事形容為“史上最大規模IT宕機”���,甚至堪稱“千年蟲事件”的加強版。為什么CrowdStrike能憑“一己之力”造成如此大規模影響���?此事暴露了哪些安全風險隱患?給互聯網行業發展帶來哪些啟示?
“可與WannaCry蠕蟲事件相提并論”
從北京時間2024年7月19日(周五)下午2點多開始�,全球大量Windows用戶出現電腦崩潰��、藍屏死機、無法重啟等情況。事發后����,網絡安全公司CrowdStrike稱���,收到大量關于Windows電腦出現藍屏報告����,公司工程部已確定該問題與“內容部署”有關���。
7月21日凌晨���,CrowdStrike就全球IT故障發布最新聲明稱��,已了解問題是如何發生的�,正在進行徹底的根源分析����,以確定邏輯缺陷是如何出現的。CrowdStrike的首席執行官喬治·庫爾茨也在社交媒體上表示�����,此事并非安全事件或網絡攻擊���。
據央視新聞報道���,該事件已致美國超2000架次航班停飛��。美國聯合包裹運送服務公司和聯邦快遞也表示,盡管其航空公司在正常運營����,但由于電腦系統故障����,快遞仍有可能會出現延誤�。
此外,倫敦等地幾家主要石油�、天然氣交易部門因網絡故障難以執行交易���;澳大利亞的國民銀行����、電信公司Telstra等都出現了無法登錄或交易情況��;特斯拉��、星巴克、?��?松梨诘绕髽I均表示受到影響。
據了解��,CrowdStrike公司成立于2011年��,是全球知名的下一代終端安全廠商�����。在世界500強企業中,有271家是CrowdStrike的客戶�����,包括微軟��、亞馬遜等�����,以及美國不少政府機構都使用其軟件。此事也給CrowdStrike的股價帶來了重創���,當地時間7月19日,其美股收跌11%��,市值一夜蒸發近百億美元��,創下2022年以來最差單日表現���。
“此事發生時����,亞太地區是白天����,歐美地區是夜晚,最初社交媒體上的反饋主要是日本、澳大利亞等地��,但后面大批歐美用戶也出現了服務中斷反饋����,很多受影響的企業不得不‘提前放假’?���!逼姘残虐踩珜<彝袅熊娬f。
“從給全球帶來的影響看,這次可以‘直追’2017年的‘WannaCry’勒索蠕蟲事件����,也暴露出了全球安全領域存在因軟件更新機制不規范���,導致業務停滯等系統性風險��。”安恒信息研究院院長王欣這樣說。
汪列軍也認為����,本次IT系統中斷事件的影響���,一定會被記入“史冊”���,可以與“WannaCry”勒索蠕蟲事件“相提并論”�����。
本次安全事故對中國影響不大
“技術越進步,社會越發展����,可能衍生的風險越大��。‘一行代碼’導致的重大損失事件歷史上時有發生?�!睌凳雷稍儎撌既?���、中國網絡空間安全協會專家李少鵬表示,在數字化轉型過程中,互聯網普及率越來越高��,伴生安全相關事件的幾率也會隨之增長��。
事實上,藍屏事件在微軟曾多次出現:在1998年發布Windows 98測試版時�,就發生過藍屏事件�����;后續隨著Windows XP系統發布�����,藍屏情況更加頻繁;2015年Windows 10發布之初����,部分用戶也有報告過藍屏情況��。相比之下,以往情況更加“局部”“小范圍”����,且產生的影響也不能和本次同日而語���。
雖然這兩天“藍屏”登上國內社交媒體熱搜榜���,并成為全網熱議的話題����。但從目前情況來看�����,中國所受的影響并不大。
汪列軍透露���,從奇安信的應急響應情況及數據來看,中國CrowdStrike軟件裝機量在十萬級到百萬級之間�����,用戶主要集中在北京�����、上海�、廣州��、深圳等一線城市����。受影響的主要是外企或外企在中國的分支機構�,對于中國的政府部門、央國企以及大部分的大型民企影響不大����。
“CrowdStrike的EDR/XDR工具能力很不錯�����,但其在中國沒有可以給客戶交付服務的能力,因此很難在中國發展客戶�?���!眮喰虐踩紫邪l官吳湘寧解釋說�����,中國國內的軟件環境與國外大不相同,操作系統方面有很多是國產化系統。此外,在應用軟件層面���,類似WPS、企業微信、釘釘等企業推出的軟件也與國外不同�����,CrowdStrike等海外安全產品對中國企業應用沒有很深入理解��,很難給中國客戶提供有效解決方案�。
7月19日�,在墨西哥首都墨西哥城的貝尼托·華雷斯國際機場,許多航班被延誤或取消���,大量旅客在機場等待���。新華社發(弗朗西斯科·卡涅多攝)
核心驅動“惹禍”導致系統性風險
事發后的第二天�����,汪列軍所在研究團隊很快推出了一份詳實的《CrowdStrike導致全球性IT基礎設施中斷事件分析報告》。文中指出�,導致本次事故的“禍首”是CrowdStrike公司的核心產品——Falcon平臺核心組件驅動程序部分功能��。
Falcon平臺是完全基于云端部署的SaaS模型。平臺通過一個輕量級的代理架構�����,實現快速且可擴展的部署�,并提供高級別的保護和性能。此外�,Falcon平臺還集成了多種功能�����,比如�,文件完整性監控、云安全、身份保護等。
“從Falcon軟件的安裝量初步估計,已導致難以計數的Windows系統不可用����,電腦只要啟動就會藍屏���,且沒有自動化措施可以執行批量集中修復���,只能一臺臺的手工操作解決問題�����。所以,恢復過程會很消耗時間���,預計完全恢復需要以周來計。”汪列軍說��。
吳湘寧也提到����,“藍屏”恢復過程中,面臨著不少挑戰——受攻擊設備需要逐一手動修復,不但效率低下���,而且有些場景恢復需要特殊密鑰,這個過程更加復雜;此外,一些受影響的設備直接關聯了關鍵性行業和基礎設施�����,比如����,政府部門、銀行��、醫療機構等��,后續衍生、連帶了不少問題�。
以上汪列軍�、吳湘寧的分析����,一定程度上也解釋了這個“忙碌周末”的緣故。在突如其來的危機中�,CrowdStrike內核驅動問題暴露了在安全解決方案選擇上的潛在風險��。
“在網絡安全領域,內核驅動方案一旦出現問題��,后果可能是災難性的����!我們必須選擇經過嚴格測試、擁有高可靠性的安全解決方案���。” 全國信息安全標準化技術委員會專家�、青藤云安全COO程度介紹���,此次事件主要是CrowdStrike的驅動程序和Windows操作系統出現了沖突導致的問題�����,背后原因可能是因為不兼容�����、驅動程序之間有沖突、驅動程序可能觸發內核“bug”等�����。
除了關注驅動的“bug”����,汪列軍認為�,還要重視產品的測試發布流程。此事件在發布測試流程上也存在很大問題����,其一次性全部更新到用戶設備上�����,就直接導致了“藍屏”。
7月19日��,在加拿大多倫多比利·畢曉普機場�����,一名波特航空公司的工作人員用手機顯示因技術故障取消航班的網絡通知�����。新華社發(鄒崢攝)
“安全!安全�����!安全����!必須是重中之重”
看似是因為技術故障引發的一場“全球混亂”,實際卻突顯了現代社會對于信息技術的依賴性及其相應的脆弱性���。“因此,在操作系統層面,應該設計得更加健壯�,以便可以更好應對此類問題���。”王欣說����。
“一定要明確�,安全是重中之重���!網絡安全是每個組織不可或缺的一部分�����,尤其數字時代�,安全不僅僅是一個技術問題���,更是一個業務問題�����?�!?程度認為,選擇正確的技術解決方案,是確保安全的第一步����。
比如��,在安全產品技術路線選擇上�,通常軟件開發包括內核態和用戶態�,前者擁有更高的系統權限,可以直接訪問硬件,但劣勢在于錯誤的驅動可能危及整個系統的穩定性����、安全性��。從目前情況來看�����,CrowdStrike應該是在內核態下導致的問題����,如果采用非內核態的形式��,出現這類問題的概率會低很多����。
“即使是非常成熟的技術平臺����,也可能遭遇意外故障。由此可見�,業務穩定和網絡安全既是技術問題��,更是管理、戰略問題����,需全面綜合考慮各種因素��。”汪列軍提到了行業里那句老話——“能力越大�,責任也越大”���。
對于安全廠商而言���,涉及系統穩定性的軟件廠商需要對產品有更嚴格的質量管理���;還要做好升級策略,在升級過程中要控制影響范圍�����,俗稱“爆炸半徑”����,掌控好升級策略,確?!盎叶壬墶?���,控制放量節奏�����。
對于安全產品使用者而言����,要選擇有實力��、有信用的安全廠商����;在部署終端安全軟件過程中����,要對資產做好分類、分級����,對于關鍵資產設置單獨的管理單元�,并設置“灰度”或延遲更新的策略。
李少鵬表示���,我們要一起做好一件事——“風險認知前移”��。也就是說��,不能等到事情發生后再亡羊補牢,應該對數字風險有一定的認知��,做到未雨綢繆�,從而當風險變成現實威脅時,才能更好地響應�����。
在這個周末里���,有人忙著修復電腦����,有人在推進追責,有人在分析反思�����。隨著這次技術問題得到逐步解決���,藍屏等情況也在慢慢緩解�。一個小小“bug”,竟能讓這么多全球業務停擺,深刻說明了數字時代的脆弱與風險��,也再次提醒了我們安全的重要性�。
撰文:李政葳 李飛 曾震宇
編輯/排版:李汶鍵
光明網出品
來源: 世界互聯網大會
IT之家 7 月 19 日消息,科技媒體 Windows Latest 昨日(7 月 18 日)發布博文��,匯總網友反饋的信息�����,報告微軟 Windows 11 七月累積更新 KB5040442 存在安裝失敗、拖慢系統性能等問題。
安裝失敗
根據網友的反饋���,在安裝 Windows 11 七月累積更新 KB5040442 過程中,遇到 0x80d02002、0x800f081f�����、0x80073cf3 等錯誤���。
一位網友反饋���,連續安裝 3 次 KB5040442 更新����,每次都會報告 0x80d02002 錯誤。
另一位網友從 Microsoft Catalog Update 下載更新�,手動安裝更新也失敗了���。
其它問題
Windows 11 用戶還反饋安裝七月累積更新 KB5040442 之后��,出現了拖慢性能、循環重啟�����、卡死在修復模式(最終藍屏)的問題���。
此外還有一位 Reddit 用戶�,在更新之后電腦和虛擬機變磚,IT之家搜索相關 BUG 反饋,目前僅為個例���,尚不清楚是否有其他用戶也遇相同問題。
還有用戶反饋在淺色模式下,文件管理器中選中文件、文件夾會出現黑色邊框����。
根據用戶報告,該更新還存在其他錯誤:
