Home Blogs CrowdStrike更新导致BSOD导致全局IT中断
Applications

CrowdStrike更新导致BSOD导致全局IT中断

About The Author

Outline

今天(2024年7月19日),全球航空公司,医疗保健提供商,政府机构,911服务机构和成千上万家其他企业醒来发现,他们参与了历史上规模最大的全球IT中断。 这些组织今天上午前来工作,发现他们的电脑显示臭名昭著的”蓝屏死机”(BSOD)。 当Windows系统面临严重错误时,会显示BSOD。

Windows Error

今天的中断是由于端点安全提供商CrowdStrike推出了一个安全内容更新,导致全球Windows计算机在显示此BSOD时陷入无休止的重新启动状态。

这些安全内容更新由安全提供商定期实施。 新规则,签名和人工智能模型作为更新创建并以编程方式推出,以确保代理,防火墙和其他解决方案在检测恶意活动时保持领先地位。 在Edgio,我们在推出新的规则和保护措施时也必须经历类似的严格流程。 此过程包括一段时间,在此期间,我们将完全专注于信息收集。 不应用任何块,而是以所谓的”仅警报”模式部署签名。 这使我们能够看到签名或规则捕获到潜在恶意请求时会被阻止的内容。 基于此情报,我们可以微调规则,以确保在规则最终进入”块模式”时做出精确响应。

遗憾的是,在全球发货之前,此更新可能没有通过相同的严格级别。

显而易见,这不仅仅是几台计算机被损坏了几分钟,这将继续产生一些重大影响。 我们看到基本服务(包括紧急服务,交通,医疗保健和金融系统)普遍中断。

这幅客机客流几乎没有下降的图像突出了这一事件的严重性。

https://x.com/US_Stormwatch/status/1814268813879206397

Photo of airport screens during crowdstrike incident
Photo of airport bar screens during crowdstrike incident

更进一步,这个问题不是 快速解决。 解决问题的步骤需要手动干预。 必须有人站在键盘旁才能将系统重新启动至安全模式,然后 导航到System32目录中的CrowdStrike目录删除C-00000291* .sys文件。 这是 不是 一个可以自动化的流程。 成千上万台机器需要这种手动干预。 对于许多企业来说,此问题不会迅速或廉价地解决

Instructions Image

幸运的是,世界上最大的证券交易所纽约证券交易所(NYSE)没有受损。 他们不受此事件的影响,因为NYSE基础设施在Linux上运行, Red Hat Linux具体说明. 幸运的是,Edgio也没有受到这一事件的影响。

这一事件凸显了我们对现代基础设施的依赖程度。 随着我们的技术不断进步,我们对上述技术的依赖也同样如此。 遗憾的是,单次更新就会对全球业务产生这样的影响,但事实并非如此 令人惊讶或不可预见。相反,他的事件是一个痛苦的提醒,提醒人们为类似事件做好准备,这些事件具有强大的测试,自动回滚,运行手册和实践

那么,我们能从这次活动中学到什么呢?

第一:自满。 这个词似乎越来越多的想到,因为我已经看到事件在上周展开。 我们倾向于做到这一点,作为人类。 过度自信和近期偏见导致我们忽视风险,相信过去的成功保证了未来的结果。 这些都不是安全领域的新概念。 我们看到安全预算因历史性的成功而减少。

第二,了解我们对某些基础设施的依赖。 组织必须识别,评估和缓解其IT基础设施中的单点故障。 实施冗余,关键系统多样化以及确保备选操作程序可最大限度地减少此类事件的影响。 定期审计和风险评估有助于识别和解决这些漏洞。

我们还要明确一点,这并不意味着所有端点安全工具都是坏的,也不意味着我们应该停止使用它们。 让我们不要陷入近期偏见,忘记仅通过防止勒索软件攻击就节省了多少时间和金钱。 您是否应该继续使用EDR来保护您的基础设施? 是的。 您是否可以使用其他方法来保护关键资产? 绝对! 让我们继续努力,团结起来。 住的很开心!