网络安全公司CrowdStrike的软件更新导致Microsoft Windows系统严重中断,导致交通、银行和医疗保健行业大面积中断。由于更新错误,这些系统面临蓝屏死机(BSOD)、突然关机和其他可用性问题,对运营造成严重影响。随着受害者报告全天不断涌现,CrowdStrike更新中断的严重性变得越来越令人痛心:超过 1,300个航班被取消或延误,火车、商店和药店的卡支付,甚至全科医生 (GP) 手术都陷入停滞。据称CrowdStrike的股价在美国非官方盘前交易中暴跌超过20%,市值损失高达160亿美元。
澳大利亚信号局澳大利亚网络安全中心(ACSC)在一份警报中表示,该中心正在监控事态发展,并可根据需要提供援助和建议。“受到影响或需要援助的组织或个人可以通过1300 CYBER1 (1300 292 371)与我们联系。”美国国土安全部(DHS)和网络安全和基础设施安全局(CISA)在X的一份声明中表示,他们“正在与CrowdStrike、微软以及我们的联邦、州、地方和关键基础设施合作伙伴合作,以全面评估和解决系统中断问题”。美国联邦航空管理局(FAA)在X上的一份声明中表示:“FAA正在密切关注影响美国航空公司IT系统的技术问题。多家航空公司已请求FAA协助停飞,直至问题得到解决。”“我们将继续与航空公司密切合作,帮助他们恢复正常运营。随着航空公司努力解决剩余的技术问题,各个机场将间歇性出现地面停飞和延误,”联邦航空管理局补充道。“目前,联邦航空管理局的运营并未受到全球IT问题的影响。我们将继续密切关注事态发展。”CrowdStrike在一份声明中表示,它正在积极与受Windows主机单个内容更新中发现的缺陷影响的客户合作。Mac和Linux主机不受影响。“这不是安全事件或网络攻击。问题已被识别、隔离,并已部署修复程序。我们建议客户访问支持门户以获取最新更新,并将继续在我们的网站上提供完整和持续的更新。“我们进一步建议各组织确保通过官方渠道与CrowdStrike代表沟通,”它补充道。“我们的团队已充分动员起来,确保CrowdStrike客户的安全和稳定。”CrowdStrike工程部门已确定与此问题相关的内容部署并撤销了这些更改。如果主机仍然崩溃且无法保持在线以接收频道文件更改,则各个主机的解决方法步骤包括重新启动主机以允许其下载恢复的频道文件。如果主机再次崩溃,则将Windows启动到安全模式或Windows恢复环境;导航到“%WINDIR%System32driversCrowdStrike”目录,找到与“C-00000291*[dot]sys”匹配的文件,然后将其删除。然后,正常启动主机。CrowdStrike为公共云或类似环境(包括虚拟环境)提供了两种选择。在第一种情况下,它建议将操作系统磁盘卷从受影响的虚拟服务器中分离出来;在继续操作之前创建磁盘卷的快照或备份,以防意外更改;并将卷附加/安装到新的虚拟服务器。然后,导航到“%WINDIR%System32driversCrowdStrike”目录,找到与“C-00000291*[dot]sys”匹配的文件并将其删除;将卷从新的虚拟服务器中分离出来;并将修复后的卷重新连接到受影响的虚拟服务器。“CrowdStrike正在积极与受Windows主机单个内容更新中发现的缺陷影响的客户合作。Mac和Linux主机不受影响。这不是安全事件或网络攻击,”CrowdStrike总裁兼首席执行官乔治·库尔茨(George Kurtz)在X消息中写道。“该问题已被识别、隔离,并已部署修复程序。我们建议客户访问支持门户以获取最新更新,并将继续在我们的网站上提供完整和持续的更新。”他补充道:“我们进一步建议各组织确保通过官方渠道与CrowdStrike代表进行沟通。我们的团队已充分动员起来,确保CrowdStrike客户的安全和稳定。关键基础设施技术研究所的研究人员告诉Industrial Cyber,他们已经概述了近期事件对关键基础设施的直接影响。华盛顿地铁系统也受到了影响,他们告诉ABC新闻,该系统的一些内部系统已瘫痪,IT团队正在努力解决这一问题。纽约市的公共交通系统是美国最大的公共交通系统,该系统表示,公交和火车运营并未受到全球停运的影响,不过部分MTA客户信息系统暂时处于离线状态。此外,司法部计算机也受到了此次中断的影响,尽管没有迹象表明它影响了现场的执法活动。司法部首席信息官办公室发布的通知称,此次问题“严重”,目前尚无恢复时间。加拿大新闻社称,CrowdStrike Windows中断已中断其部分服务,包括有线内容、所有音频和照片传输。关键基础设施技术研究所创始人兼主席Parham Eftekhari在一封电子邮件声明中写道“Crowdstrike IT停运事件凸显了互联IT-OT环境中的重要教训。对单一系统的依赖会放大风险,凸显出对多元化基础设施的需求”。“快速适应手动流程凸显了强大的备份系统和灾难恢复计划的重要性。”Eftekhari补充道:“我们看到的单次更新带来的破坏规模强调了全面测试和分阶段部署的必要性。此次事件暴露了全球互联互通的脆弱性,影响了全球的交通、医疗保健和政府服务等行业。展望未来,科技行业必须优先考虑云基础设施和更新管理的弹性,以减轻未来的破坏并防范日益数字化的世界中的潜在威胁。”Industrial Defender解决方案工程高级副总裁Greg Valentine告诉Industrial Cyber:“在ICS环境中制定强大的补丁管理策略对于维护安全性、确保系统可用性和操作完整性至关重要。”“关键做法包括定期进行风险评估、根据资产的重要性对其进行分类和优先排序,以及在受控环境中彻底测试补丁。”他补充说,安全团队必须与运营部门合作,OT也必须与IT部门合作。“有效的修补需要强有力的协作和规划,组织的各个方面都要了解每个维护窗口涉及的内容,以及应对紧急带外漏洞的协议是什么。组织的各个部门都必须参与了解相关的安全、业务、运营和合规风险。”CyberArk首席信息官Omer Grossman在一封电子邮件声明中评论了此次全球中断,称全球业务流程受到的损害是巨大的。“此次故障是由于CrowdStrike的EDR产品的软件更新造成的。该产品以高权限运行,可保护终端。正如我们在当前事件中看到的,该产品出现故障可能会导致操作系统崩溃。”Evolve首席执行官Alan Stephenson-Brown在一封电子邮件声明中写道“全球IT中断导致航空公司、媒体和银行出现问题的消息及时提醒我们,运营弹性应成为业务议程的重中之重”。“这次中断表明,即使是大型公司也无法免受IT问题的影响,这凸显了拥有分布式数据中心和重新路由连接的重要性,以确保在云基础设施中断时业务能够继续运行。”Omdia网络安全分析师Maxine Holt表示,在网络安全实践和服务旨在保护企业而不中断业务的行业中,这次中断证明“即使是非恶意的网络安全故障也可能让企业陷入困境”。霍尔特在一份在线声明中指出,这一大规模事件凸显了对云服务的过度依赖,此次中断可能促使各组织重新考虑将其关键任务应用程序迁移到云端。Holt表示:“Omdia的云和数据中心分析师早就警告人们不要过度依赖云服务。今天的中断将使企业重新考虑将关键任务应用程序迁移到外部。ForAllSecure安全策略师Josh Thorngren在一封电子邮件声明中写道,虽然“允许第三方软件在您自己的环境中自行更新可以节省测试和验证时间,但这也意味着新的错误或问题会在没有任何警告或制衡的情况下出现。对于应急管理和航空等关键系统,自动更新应受到严格限制,并应采用人为验证的良好流程。”在谈到需要做出的一些改变时,Thorngren表示:“软件供应商需要将功能回归测试(我的应用程序是否仍像改变之前一样工作)集成到每次安全或依赖项升级中,而不仅仅是功能工作。这是这里最大的区别。如果您没有在每次更新时在预期(和意外)条件下测试应用程序的行为,那么这种类型的问题将始终存在风险。”“就长期影响而言,希望这能促进监管,”Thorngren指出。“我们已经看到汽车、医疗软件等行业的变化——新法规和指导促使软件供应商更定期地进行功能测试——并同时测试其更新的安全性。现在是时候对更广泛的企业软件采用同样的方法了——这不是一个行业特定的问题。像Crowdstrike这样的供应商的软件涉及数十个关键行业。”1、https://industrialcyber.co/it-ot-collaboration/crowdstrike-update-leads-to-disruption-across-critical-infrastructure-environments/2、https://www.nbcnews.com/news/world/live-blog/live-updates-it-outage-flights-banks-businesses-microsoft-crowdstrike-rcna162669
还没有评论,来说两句吧...