今天(19JUL2024),全球航空公司,醫療保健供應商,政府機構,911服務部門和數千家其他企業醒來,發現他們參與了歷史上規模最大的全球IT中斷。 這些組織今天上午前來工作,發現他們的計算機顯示臭名昭著的“藍白當機畫面死亡”(Blue Screen of Death)。 當Windows系統遇到嚴重錯誤時,會顯示BSOD。
今天的中斷是端點安全提供商CrowdStrike推出安全內容更新導致全球各地的Windows計算機在顯示此BSOD時陷入無休止的重新啓動狀態。
安全性提供者會定期進行這些安全性內容更新。 創建新的規則,簽名和AI模型並以編程方式推出更新,以確保代理,防火牆和其他解決方案在檢測惡意活動方面處於領先地位。 在Edgio,我們在推出新規則和保護時也必須經歷類似的嚴格流程。 這一過程包括一段時間,我們將全部精力放在資訊收集上。 不應用任何塊,而是在所謂的“僅警報”模式下部署簽名。 這使我們能夠查看如果簽名或規則捕獲潛在惡意請求將阻止哪些內容。 基於這種智能,我們可以微調規則,以確保規則最終進入“塊模式”時的精確響應。
遺憾的是,此更新在全球發運之前可能沒有經過同樣嚴格的嚴格程度。
顯然,這不僅僅是幾臺計算機出現幾分鐘的故障,還會繼續產生一些重大影響。 我們看到,關鍵服務(包括緊急服務,運輸,醫療保健和金融系統)普遍遭到破壞。
這一飛機客運量幾乎沒有下降的景象突出了這一事件的嚴重性。
再進一步來說,這個問題並非如此 快速解決。 解決步驟需要手動干預。 鍵盤旁必須有人員,才能將系統重新啟動至安全模式和 導航至System32目錄中的CrowdStrike目錄以刪除00000291 sys文件。 這是 不是 可以自動化的流程。 成千上萬的機器需要這種手動干預。 對於許多企業來說,這一問題不會很快或很便宜地得到解決。
對金融服務業來說,幸運的是,世界上最大的證券交易所紐約證券交易所(NYSE)沒有受到任何損害。 由於NYSE基礎架構是在Linux上執行, Red Hat Linux具體說明。 幸運的是,Edgio也沒有受到這一事件的影響。
這一事件突顯了我們對現代基礎設施依賴於個別技術。 隨着我們的技術不斷進步,我們對上述技術的依賴也隨之而來。 遺憾的是,單個更新可能對全球操作產生如此影響的事實並非如此 令人驚訝或不可預見。相反,這一事件只是一種痛苦的提醒,它通過強大的測試,自動回滾,執行手冊和針對這些類型的事件的實踐來準備類似事件。
那麼,我們還能從這次活動中學到什麼呢?
第一:自滿。 隨著我上周觀察事件的展開,這個詞似乎越來越令人想起。 我們傾向於做這件事,作為人類。 過度自信和接受偏見導致我們忽視風險,相信過去的成功將確保未來的成果。 這些都不是安全領域中的新概念。 我們看到安全預算因歷史成功而減少。
第二,了解我們對某些基礎設施的依賴。 組織必須識別,評估和緩解其IT基礎架構中的單點故障。 實施冗餘,使關鍵系統多樣化以及確保備選操作程序可以最大限度地減少此類事件的影響。 定期審計和風險評估有助於識別和解決這些漏洞。
我們還要明確一點,這並不意味着所有端點安全工具都是壞的,也不意味着我們應該停止使用它們。 讓我們不要陷入“最近偏見”,而忘記單獨防止勒索軟體攻擊節省了多少時間和金錢。 您是否應該繼續使用EDR來保護您的基礎架構? 是的。 您是否有其他方法可以用來保護重要資產? 絕對的! 讓我們繼續努力,攜手合作。 住在Frosty!
