個(gè)周末,全球IT行業(yè)“很忙”。
由于網(wǎng)絡(luò)安全公司CrowdStrike技術(shù)更新中的“bug”,導(dǎo)致“微軟藍(lán)屏”并引發(fā)了全球宕機(jī)事故,多地基礎(chǔ)設(shè)施、服務(wù)業(yè)遭到嚴(yán)重影響——數(shù)千航班被取消、部分金融交易被中斷、多個(gè)城市醫(yī)療服務(wù)延遲、特斯拉等大型企業(yè)生產(chǎn)線停工……
或許是因?yàn)槿f(wàn)物互聯(lián)時(shí)代“牽一發(fā)而動(dòng)全身”,抑或是微軟擁有龐大的客戶群體,業(yè)界將此事形容為“史上最大規(guī)模IT宕機(jī)”,甚至堪稱“千年蟲(chóng)事件”的加強(qiáng)版。為什么CrowdStrike能憑“一己之力”造成如此大規(guī)模影響?此事暴露了哪些安全風(fēng)險(xiǎn)隱患?給互聯(lián)網(wǎng)行業(yè)發(fā)展帶來(lái)哪些啟示?
“可與WannaCry蠕蟲(chóng)事件相提并論”
從北京時(shí)間2024年7月19日(周五)下午2點(diǎn)多開(kāi)始,全球大量Windows用戶出現(xiàn)電腦崩潰、藍(lán)屏死機(jī)、無(wú)法重啟等情況。事發(fā)后,網(wǎng)絡(luò)安全公司CrowdStrike稱,收到大量關(guān)于Windows電腦出現(xiàn)藍(lán)屏報(bào)告,公司工程部已確定該問(wèn)題與“內(nèi)容部署”有關(guān)。
7月21日凌晨,CrowdStrike就全球IT故障發(fā)布最新聲明稱,已了解問(wèn)題是如何發(fā)生的,正在進(jìn)行徹底的根源分析,以確定邏輯缺陷是如何出現(xiàn)的。CrowdStrike的首席執(zhí)行官喬治·庫(kù)爾茨也在社交媒體上表示,此事并非安全事件或網(wǎng)絡(luò)攻擊。
據(jù)央視新聞報(bào)道,該事件已致美國(guó)超2000架次航班停飛。美國(guó)聯(lián)合包裹運(yùn)送服務(wù)公司和聯(lián)邦快遞也表示,盡管其航空公司在正常運(yùn)營(yíng),但由于電腦系統(tǒng)故障,快遞仍有可能會(huì)出現(xiàn)延誤。
此外,倫敦等地幾家主要石油、天然氣交易部門因網(wǎng)絡(luò)故障難以執(zhí)行交易;澳大利亞的國(guó)民銀行、電信公司Telstra等都出現(xiàn)了無(wú)法登錄或交易情況;特斯拉、星巴克、埃克森美孚等企業(yè)均表示受到影響。
據(jù)了解,CrowdStrike公司成立于2011年,是全球知名的下一代終端安全廠商。在世界500強(qiáng)企業(yè)中,有271家是CrowdStrike的客戶,包括微軟、亞馬遜等,以及美國(guó)不少政府機(jī)構(gòu)都使用其軟件。此事也給CrowdStrike的股價(jià)帶來(lái)了重創(chuàng),當(dāng)?shù)貢r(shí)間7月19日,其美股收跌11%,市值一夜蒸發(fā)近百億美元,創(chuàng)下2022年以來(lái)最差單日表現(xiàn)。
“此事發(fā)生時(shí),亞太地區(qū)是白天,歐美地區(qū)是夜晚,最初社交媒體上的反饋主要是日本、澳大利亞等地,但后面大批歐美用戶也出現(xiàn)了服務(wù)中斷反饋,很多受影響的企業(yè)不得不‘提前放假’。”奇安信安全專家汪列軍說(shuō)。
“從給全球帶來(lái)的影響看,這次可以‘直追’2017年的‘WannaCry’勒索蠕蟲(chóng)事件,也暴露出了全球安全領(lǐng)域存在因軟件更新機(jī)制不規(guī)范,導(dǎo)致業(yè)務(wù)停滯等系統(tǒng)性風(fēng)險(xiǎn)。”安恒信息研究院院長(zhǎng)王欣這樣說(shuō)。
汪列軍也認(rèn)為,本次IT系統(tǒng)中斷事件的影響,一定會(huì)被記入“史冊(cè)”,可以與“WannaCry”勒索蠕蟲(chóng)事件“相提并論”。
本次安全事故對(duì)中國(guó)影響不大
“技術(shù)越進(jìn)步,社會(huì)越發(fā)展,可能衍生的風(fēng)險(xiǎn)越大。‘一行代碼’導(dǎo)致的重大損失事件歷史上時(shí)有發(fā)生。”數(shù)世咨詢創(chuàng)始人、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)專家李少鵬表示,在數(shù)字化轉(zhuǎn)型過(guò)程中,互聯(lián)網(wǎng)普及率越來(lái)越高,伴生安全相關(guān)事件的幾率也會(huì)隨之增長(zhǎng)。
事實(shí)上,藍(lán)屏事件在微軟曾多次出現(xiàn):在1998年發(fā)布Windows 98測(cè)試版時(shí),就發(fā)生過(guò)藍(lán)屏事件;后續(xù)隨著Windows XP系統(tǒng)發(fā)布,藍(lán)屏情況更加頻繁;2015年Windows 10發(fā)布之初,部分用戶也有報(bào)告過(guò)藍(lán)屏情況。相比之下,以往情況更加“局部”“小范圍”,且產(chǎn)生的影響也不能和本次同日而語(yǔ)。
雖然這兩天“藍(lán)屏”登上國(guó)內(nèi)社交媒體熱搜榜,并成為全網(wǎng)熱議的話題。但從目前情況來(lái)看,中國(guó)所受的影響并不大。
汪列軍透露,從奇安信的應(yīng)急響應(yīng)情況及數(shù)據(jù)來(lái)看,中國(guó)CrowdStrike軟件裝機(jī)量在十萬(wàn)級(jí)到百萬(wàn)級(jí)之間,用戶主要集中在北京、上海、廣州、深圳等一線城市。受影響的主要是外企或外企在中國(guó)的分支機(jī)構(gòu),對(duì)于中國(guó)的政府部門、央國(guó)企以及大部分的大型民企影響不大。
“CrowdStrike的EDR/XDR工具能力很不錯(cuò),但其在中國(guó)沒(méi)有可以給客戶交付服務(wù)的能力,因此很難在中國(guó)發(fā)展客戶。”亞信安全首席研發(fā)官吳湘寧解釋說(shuō),中國(guó)國(guó)內(nèi)的軟件環(huán)境與國(guó)外大不相同,操作系統(tǒng)方面有很多是國(guó)產(chǎn)化系統(tǒng)。此外,在應(yīng)用軟件層面,類似WPS、企業(yè)微信、釘釘?shù)绕髽I(yè)推出的軟件也與國(guó)外不同,CrowdStrike等海外安全產(chǎn)品對(duì)中國(guó)企業(yè)應(yīng)用沒(méi)有很深入理解,很難給中國(guó)客戶提供有效解決方案。
7月19日,在墨西哥首都墨西哥城的貝尼托·華雷斯國(guó)際機(jī)場(chǎng),許多航班被延誤或取消,大量旅客在機(jī)場(chǎng)等待。新華社發(fā)(弗朗西斯科·卡涅多攝)
核心驅(qū)動(dòng)“惹禍”導(dǎo)致系統(tǒng)性風(fēng)險(xiǎn)
事發(fā)后的第二天,汪列軍所在研究團(tuán)隊(duì)很快推出了一份詳實(shí)的《CrowdStrike導(dǎo)致全球性IT基礎(chǔ)設(shè)施中斷事件分析報(bào)告》。文中指出,導(dǎo)致本次事故的“禍?zhǔn)住笔荂rowdStrike公司的核心產(chǎn)品——Falcon平臺(tái)核心組件驅(qū)動(dòng)程序部分功能。
Falcon平臺(tái)是完全基于云端部署的SaaS模型。平臺(tái)通過(guò)一個(gè)輕量級(jí)的代理架構(gòu),實(shí)現(xiàn)快速且可擴(kuò)展的部署,并提供高級(jí)別的保護(hù)和性能。此外,F(xiàn)alcon平臺(tái)還集成了多種功能,比如,文件完整性監(jiān)控、云安全、身份保護(hù)等。
“從Falcon軟件的安裝量初步估計(jì),已導(dǎo)致難以計(jì)數(shù)的Windows系統(tǒng)不可用,電腦只要啟動(dòng)就會(huì)藍(lán)屏,且沒(méi)有自動(dòng)化措施可以執(zhí)行批量集中修復(fù),只能一臺(tái)臺(tái)的手工操作解決問(wèn)題。所以,恢復(fù)過(guò)程會(huì)很消耗時(shí)間,預(yù)計(jì)完全恢復(fù)需要以周來(lái)計(jì)。”汪列軍說(shuō)。
吳湘寧也提到,“藍(lán)屏”恢復(fù)過(guò)程中,面臨著不少挑戰(zhàn)——受攻擊設(shè)備需要逐一手動(dòng)修復(fù),不但效率低下,而且有些場(chǎng)景恢復(fù)需要特殊密鑰,這個(gè)過(guò)程更加復(fù)雜;此外,一些受影響的設(shè)備直接關(guān)聯(lián)了關(guān)鍵性行業(yè)和基礎(chǔ)設(shè)施,比如,政府部門、銀行、醫(yī)療機(jī)構(gòu)等,后續(xù)衍生、連帶了不少問(wèn)題。
以上汪列軍、吳湘寧的分析,一定程度上也解釋了這個(gè)“忙碌周末”的緣故。在突如其來(lái)的危機(jī)中,CrowdStrike內(nèi)核驅(qū)動(dòng)問(wèn)題暴露了在安全解決方案選擇上的潛在風(fēng)險(xiǎn)。
“在網(wǎng)絡(luò)安全領(lǐng)域,內(nèi)核驅(qū)動(dòng)方案一旦出現(xiàn)問(wèn)題,后果可能是災(zāi)難性的!我們必須選擇經(jīng)過(guò)嚴(yán)格測(cè)試、擁有高可靠性的安全解決方案。” 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)專家、青藤云安全COO程度介紹,此次事件主要是CrowdStrike的驅(qū)動(dòng)程序和Windows操作系統(tǒng)出現(xiàn)了沖突導(dǎo)致的問(wèn)題,背后原因可能是因?yàn)椴患嫒荨Ⅱ?qū)動(dòng)程序之間有沖突、驅(qū)動(dòng)程序可能觸發(fā)內(nèi)核“bug”等。
除了關(guān)注驅(qū)動(dòng)的“bug”,汪列軍認(rèn)為,還要重視產(chǎn)品的測(cè)試發(fā)布流程。此事件在發(fā)布測(cè)試流程上也存在很大問(wèn)題,其一次性全部更新到用戶設(shè)備上,就直接導(dǎo)致了“藍(lán)屏”。
7月19日,在加拿大多倫多比利·畢曉普機(jī)場(chǎng),一名波特航空公司的工作人員用手機(jī)顯示因技術(shù)故障取消航班的網(wǎng)絡(luò)通知。新華社發(fā)(鄒崢攝)
“安全!安全!安全!必須是重中之重”
看似是因?yàn)榧夹g(shù)故障引發(fā)的一場(chǎng)“全球混亂”,實(shí)際卻突顯了現(xiàn)代社會(huì)對(duì)于信息技術(shù)的依賴性及其相應(yīng)的脆弱性。“因此,在操作系統(tǒng)層面,應(yīng)該設(shè)計(jì)得更加健壯,以便可以更好應(yīng)對(duì)此類問(wèn)題。”王欣說(shuō)。
“一定要明確,安全是重中之重!網(wǎng)絡(luò)安全是每個(gè)組織不可或缺的一部分,尤其數(shù)字時(shí)代,安全不僅僅是一個(gè)技術(shù)問(wèn)題,更是一個(gè)業(yè)務(wù)問(wèn)題。” 程度認(rèn)為,選擇正確的技術(shù)解決方案,是確保安全的第一步。
比如,在安全產(chǎn)品技術(shù)路線選擇上,通常軟件開(kāi)發(fā)包括內(nèi)核態(tài)和用戶態(tài),前者擁有更高的系統(tǒng)權(quán)限,可以直接訪問(wèn)硬件,但劣勢(shì)在于錯(cuò)誤的驅(qū)動(dòng)可能危及整個(gè)系統(tǒng)的穩(wěn)定性、安全性。從目前情況來(lái)看,CrowdStrike應(yīng)該是在內(nèi)核態(tài)下導(dǎo)致的問(wèn)題,如果采用非內(nèi)核態(tài)的形式,出現(xiàn)這類問(wèn)題的概率會(huì)低很多。
“即使是非常成熟的技術(shù)平臺(tái),也可能遭遇意外故障。由此可見(jiàn),業(yè)務(wù)穩(wěn)定和網(wǎng)絡(luò)安全既是技術(shù)問(wèn)題,更是管理、戰(zhàn)略問(wèn)題,需全面綜合考慮各種因素。”汪列軍提到了行業(yè)里那句老話——“能力越大,責(zé)任也越大”。
對(duì)于安全廠商而言,涉及系統(tǒng)穩(wěn)定性的軟件廠商需要對(duì)產(chǎn)品有更嚴(yán)格的質(zhì)量管理;還要做好升級(jí)策略,在升級(jí)過(guò)程中要控制影響范圍,俗稱“爆炸半徑”,掌控好升級(jí)策略,確保“灰度升級(jí)”,控制放量節(jié)奏。
對(duì)于安全產(chǎn)品使用者而言,要選擇有實(shí)力、有信用的安全廠商;在部署終端安全軟件過(guò)程中,要對(duì)資產(chǎn)做好分類、分級(jí),對(duì)于關(guān)鍵資產(chǎn)設(shè)置單獨(dú)的管理單元,并設(shè)置“灰度”或延遲更新的策略。
李少鵬表示,我們要一起做好一件事——“風(fēng)險(xiǎn)認(rèn)知前移”。也就是說(shuō),不能等到事情發(fā)生后再亡羊補(bǔ)牢,應(yīng)該對(duì)數(shù)字風(fēng)險(xiǎn)有一定的認(rèn)知,做到未雨綢繆,從而當(dāng)風(fēng)險(xiǎn)變成現(xiàn)實(shí)威脅時(shí),才能更好地響應(yīng)。
在這個(gè)周末里,有人忙著修復(fù)電腦,有人在推進(jìn)追責(zé),有人在分析反思。隨著這次技術(shù)問(wèn)題得到逐步解決,藍(lán)屏等情況也在慢慢緩解。一個(gè)小小“bug”,竟能讓這么多全球業(yè)務(wù)停擺,深刻說(shuō)明了數(shù)字時(shí)代的脆弱與風(fēng)險(xiǎn),也再次提醒了我們安全的重要性。
撰文:李政葳 李飛 曾震宇
編輯/排版:李汶鍵
光明網(wǎng)出品
來(lái)源: 世界互聯(lián)網(wǎng)大會(huì)
一客戶維修電腦,遇到電腦故障藍(lán)屏。藍(lán)屏錯(cuò)誤代碼:c000021a。我詳細(xì)地詢問(wèn)了用戶的電腦使用情況?用戶說(shuō)網(wǎng)購(gòu)買的電腦,2個(gè)月內(nèi)裝了3次win7系統(tǒng),經(jīng)常藍(lán)屏,今天徹底打不開(kāi)桌面了?硬件配置如下:CPU:i5-9400F;主板:技嘉H310M S2;內(nèi)存:8G;硬盤:SSD 256GB。客戶說(shuō),師傅你給好好排查下,看哪里有問(wèn)題?用戶的電腦配置也不低呀?怎么經(jīng)常會(huì)出藍(lán)屏問(wèn)題?
按照平時(shí)的維修方法:我用軟件給他測(cè)試了內(nèi)存和固態(tài)硬盤,都運(yùn)行正常,BIOS各項(xiàng)設(shè)置正常。那就考慮系統(tǒng)問(wèn)題吧!用戶還是要求裝win7。我沒(méi)多想,給他裝了一遍,系統(tǒng)是裝上去了,幾次開(kāi)機(jī)過(guò)后就發(fā)現(xiàn)藍(lán)屏,卡頓。接下來(lái)我問(wèn)用戶?你的硬件配置有可能和win7系統(tǒng)不兼容, 給你裝win10可以嗎?用戶說(shuō),你裝win10吧!又一次給用戶安裝了win10純凈版,安裝很順利,速度也很快。
安裝好系統(tǒng)之后,安裝常用軟件,又給安裝了打印機(jī)驅(qū)動(dòng),測(cè)試一切正常!
維修完之后,用戶很滿意!說(shuō)有啥再聯(lián)系吧!客戶用了一段時(shí)間,再?zèng)]有出現(xiàn)藍(lán)屏現(xiàn)象。
通過(guò)平時(shí)的維修工作,我總結(jié)了,無(wú)論裝什么系統(tǒng)?根據(jù)電腦的年份,和配置高低決定?配置較高的電腦還是建議裝win10等新系統(tǒng);配置低的老電腦還是建議裝win7。
本人已開(kāi)通全網(wǎng)維權(quán),勿抄襲!
此文章是本人原創(chuàng)所作,未經(jīng)本人許可,任何個(gè)人、任何平臺(tái)不得私自轉(zhuǎn)載使用?如需轉(zhuǎn)載需要聯(lián)系本人經(jīng)過(guò)同意方可轉(zhuǎn)載并注明出處!
創(chuàng)作不易,僅說(shuō)自己觀點(diǎn)看法,有哪里說(shuō)的不對(duì)的,多多交流,多多指正![握手][握手]
日部分網(wǎng)友表示自己好端端的辦公卻突然遇到了電腦藍(lán)屏,這是怎么回事?
當(dāng)網(wǎng)友們打開(kāi)手機(jī)一看原來(lái)是微軟藍(lán)屏
部分網(wǎng)友表示辛苦的打工人終于可以休息了[流淚],但當(dāng)網(wǎng)友們看到了此次微軟藍(lán)屏使多國(guó)的航空停運(yùn),鐵路出故障,銀行出現(xiàn)問(wèn)題的時(shí)候大家都坐不住了:要是微軟在以后隨便一個(gè)小錯(cuò)誤那全球不都得遭殃。部分網(wǎng)友猜測(cè)此次微軟藍(lán)屏不是普通的小錯(cuò)誤,可能背后隱藏著一個(gè)大陰謀!
網(wǎng)友表示此次微軟藍(lán)屏可能與米國(guó)有關(guān)聯(lián),事實(shí)是否如此還需要看此次事件的近一步發(fā)展
當(dāng)眾多國(guó)家的國(guó)家公共安全出現(xiàn)問(wèn)題時(shí),我們就需要引起重視,而不是忽視它。
當(dāng)其他國(guó)家公共系統(tǒng)出問(wèn)題時(shí),唯有中國(guó)公共系統(tǒng)沒(méi)有受到影響。部分網(wǎng)友開(kāi)始希望國(guó)產(chǎn)系統(tǒng)早日崛起
部分網(wǎng)友開(kāi)始相信國(guó)產(chǎn)始終是保護(hù)我們的防彈衣!!!
中國(guó)無(wú)時(shí)無(wú)刻都在擔(dān)心中國(guó)的安危,國(guó)產(chǎn)才能真正保護(hù)我們。希望此次微軟藍(lán)屏只是一次偶發(fā)性錯(cuò)誤,愿我們中國(guó)號(hào)巨輪行的更加平穩(wěn)!!!