北京时间7月19日(ri)(周五),美国网络安全公司CrowdStrike软件bug带崩了全球范围内的微(wei)软Windows系统,外媒将此称为“史上最大规模IT故障”。
全球范围内,包括(kuo)航空公司、医院、铁路(lu)网络和电视台在内的关键企业和服务都(dou)因微(wei)软系统中断而瘫痪(huan),就连美国911电话的接线员都(dou)无法对紧急情况作(zuo)出回应(ying)。此外,全球供(gong)应(ying)链也(ye)受打击,其中,高度(du)复杂的航空系统受创最为严重,航空运输可能需要几周时间才能恢复正常。
图片来源:外媒报(bao)道截图
尽管目前IT系统故障已(yi)经得到解决,但此次(ci)事件凸显了全球技术基础设施的脆弱性,也(ye)引发了全球对单(dan)一技术“主干道”依赖性的反思,以(yi)及当这些(xie)软件公司的代码缺陷造成重大中断时,他(ta)们应(ying)该承担怎样的责任。
美国IT研究与顾问咨询公司Gartner高级研究总监高峰在接受《每日(ri)经济新(xin)闻》记者采访时表(biao)示,对于企业(和个人)来说,可以(yi)增(zeng)加(jia)弹性(resilience),例如引入多个供(gong)应(ying)商,以(yi)减(jian)少(shao)依赖单(dan)一供(gong)应(ying)商的风险。同时也(ye)可以(yi)制定应(ying)急预案,例如出现(xian)宕机后直接绕过CrowdStrike。而对于网络安全企业来说,可以(yi)通过对补(bu)丁的更新(xin)控制,比如严格控制推送的补(bu)丁,经过测试后才下发到用户侧。
史上最大规模IT故障!“始作(zuo)俑者”服务271家500强企业及众多政府(fu)机构
据外媒,此次(ci)史无前例的全球范围内宕机起因是CrowdStrike在当地(di)时间周四发布了一个存在缺陷的软件更新(xin),导致全球范围内的微(wei)软Windows系统出现(xian)“蓝(lan)屏死(si)机”。外媒称这是“史上最大规模IT故障”。
当CrowdStrike向使用微(wei)软Windows软件的客户发送更新(xin)时,用户的电脑开始逐(zhu)渐(jian)崩溃。外媒报(bao)道称,与苹果向iPhone用户发送软件更新(xin)不同,此次(ci)全球大范围的内的罕见宕机事件凸显了在后台运行的信息技术的安全性问题。CrowdStrike的问题更为复杂,因为正在更新(xin)的软件执行着关键的网络安全任务,使其能够扫描计算机以(yi)查找病毒和其他(ta)恶意(yi)攻击。
据航空分析公司Cirium称,周五全球有超过11万个预定的商业航班,其中超过5000个被取消,相比周四的取消航班数量(liang)激增(zeng)了2倍以(yi)上。FlightAware航班追踪(zong)数据显示,周五全球有超过21000个航班延误,达(da)美航空受影响最严重,20%的航班被取消。周五早上的航班延误和取消数量(liang)比过去两天同时间段高出一倍以(yi)上,FlightAware预计此事件对航空业的影响还将持续到未(wei)来几天。
目前,包括(kuo)美国联合航空、美国航空、西班牙机场(chang)运营商Aena在内的许多航空公司报(bao)告服务已(yi)恢复正常。美国运输部(bu)长皮特·布蒂吉格表(biao)示,运输系统的问题似乎已(yi)经得到解决,预计到周六会恢复正常,并补(bu)充说美国联邦航空管理局似乎没有受到影响。
此次(ci)事件还影响到了金融、医疗、汽车等(deng)关键领域。在金融领域,包括(kuo)摩(mo)根大通、野村(cun)控股和美国银行在内的多家金融机构不得不启用备用系统,数千台摩(mo)根大通的ATM机和柜员机也(ye)因此瘫痪(huan)。在汽车行业,雷诺被迫在其Maubeuge工厂和迪拜工厂暂停生产,因为供(gong)应(ying)商受到了技术故障的影响。特斯拉首席执行官马斯克表(biao)示,已(yi)经从所有系统中删除(chu)了CrowdStrike软件,并抱怨此次(ci)故障对汽车供(gong)应(ying)链造成了严重影响。
有网络安全人士(shi)指出,虽(sui)然CrowdStrike对软件漏洞负有责任,但微(wei)软操作(zuo)系统糟糕的弹性是造成如此严重损失的原因。
美国IT研究与顾问咨询公司Gartner高级研究总监高峰在接受《每日(ri)经济新(xin)闻》记者采访时表(biao)示,“此次(ci)CrowdStrike产品缺陷造成史上最大IT系统宕机主要还是因为其用户群体庞大,当然其他(ta)头部(bu)的公司也(ye)会存在这样的风险。”
作(zuo)为主要的电脑桌面操作(zuo)系统之一,Windows在全球拥有10亿用户,网络安全依赖于全球少(shao)数几家网络安全公司,其中就包括(kuo)CrowdStrike。网络安全工具通常在计算机的后台运行,以(yi)保护计算机免受黑客攻击。当一个有缺陷的软件在互联网上发布时,它几乎可以(yi)立即对大范围的企业和个人电脑造成破坏。
《每日(ri)经济新(xin)闻》记者注意(yi)到,除(chu)了此次(ci)前所未(wei)有的产品缺陷外,CrowdStrike的产品此前也(ye)出现(xian)过类似的问题。外媒获取的一份CrowdStrike发送给客户的内部(bu)报(bao)告显示,今年4月份,CrowdStrike向运行Linux系统的客户推送了一个软件更新(xin),结果导致电脑崩溃。当时,CrowdStrike 花了近五天时间才修复了该漏洞。CrowdStrike当时承诺今后将改进测试流程。
实际上,CrowdStrike一直以(yi)来以(yi)解决最棘手的安全问题而闻名,曾被聘用调查2014年索尼影业(Sony Pictures)遭黑客攻击和2016年民主党(dang)全国委员会(Democratic National Committee)遭黑客攻击的事件,希拉里(li)·克林顿的电子邮件曾在2016年的事件中曝(pu)光。
该公司成立于2011年,总部(bu)位于得克萨斯州奥斯汀(ting),全球500强企业中有271家是其客户,另外还有许多政府(fu)机构,如美国顶级网络安全机构网络安全和基础设施安全局,都(dou)在使用CrowdStrike的软件。
专家:应(ying)减(jian)少(shao)对单(dan)一供(gong)应(ying)商的依赖,加(jia)强补(bu)丁更新(xin)控制
CrowdStrike软件更新(xin)错误导致的全球IT大范围中断,也(ye)让不法分子有了可乘之机。
在这场(chang)前所未(wei)有的宕机事件之后,一些(xie)黑客正在发起网络钓鱼活(huo)动并发布恶意(yi)软件链接。这些(xie)恶意(yi)行为者以(yi)迫切需要信息和解决方案的个人和组织为目标,以(yi)提供(gong)CrowdStrike相关问题的更新(xin)或修复为幌子,诱(you)骗(pian)他(ta)们点击钓鱼的链接。
美国国土安全部(bu)下属的网络安全和基础设施安全局(CISA)正在追踪(zong)这类网络犯罪活(huo)动,它们现(xian)在对美国人构成了第二大威胁。CISA声明称,“当局已(yi)经观察到恶意(yi)行为者利(li)用此次(ci)宕机进行网络钓鱼和其他(ta)的非法行动。CISA敦促组织和个人保持警惕,只相信合法来源的指示,建议(yi)企业提醒员工不要点击疑似的钓鱼邮件或可疑的链接。”
CrowdStrike创始人兼CEO George Kurtz在社交媒体X上回应(ying)称:“CrowdStrike正积极与受Windows主机单(dan)次(ci)内容更新(xin)中发现(xian)缺陷影响的客户合作(zuo)。Mac和Linux主机不受影响。这不是安全事件或网络攻击。目前已(yi)确定、隔离了该问题,并部(bu)署了修复程序(xu)。”Kurtz补(bu)充称,此次(ci)宕机并不是由网络攻击造成的,其客户仍(reng)受到“充分保护”。
图片来源:X
虽(sui)然此次(ci)大范围中断是因软件更新(xin)造成的,但其影响也(ye)表(biao)明,当全球技术体系的一条主干道被中断后,其破坏性会有多大。此外,这也(ye)引发了对CrowdStrike产品测试流程的更广(guang)泛质疑,以(yi)及当这些(xie)软件公司的代码缺陷造成重大中断时,他(ta)们应(ying)该承担怎样的责任。
高峰对每经记者指出,对于企业(和个人)来说,可以(yi)增(zeng)加(jia)弹性,例如引入多个供(gong)应(ying)商,以(yi)减(jian)少(shao)依赖单(dan)一供(gong)应(ying)商的风险;同时,也(ye)可以(yi)制定应(ying)急预案,例如出现(xian)宕机后直接绕过CrowdStrike。
“然而,CrowdStrike的部(bu)署模式是在终端上安装代理,因此上述这两种方案都(dou)很难(nan)实施。在这种情况下,企业可以(yi)通过对补(bu)丁的更新(xin)控制,比如严格控制推送的补(bu)丁,经过测试后才下发到用户侧。但是这样可能会延误补(bu)丁的修复。另外,还可以(yi)使用增(zeng)加(jia)可用性的方式,比如‘灰度(du)发布’、‘蓝(lan)绿(lu)发布’、‘滚动发布’等(deng)等(deng)。”
每日(ri)经济新(xin)闻