从 CrowdStrike 事件中吸取的教训

补丁是任何网络安全管理员的日常工作，也是确保系统运行各种软件应用程序最新、最安全版本的最有效方法。大多数情况下，更新都是在后台进行的，一般人只有在被要求重新启动计算机以安装新版本时才会注意到正在安装补丁。

然而，7 月 18 日，CrowdStrike 向全球 850 万台运行 CrowdStrike Falcon 的 Windows 电脑发布了一个漏洞补丁，但很快被各组织发现。结果，数百万台电脑出现了臭名昭著的蓝屏死机现象，导致数百家企业下线，数百万人受到影响，航空、医疗保健、金融和数十个其他行业也纷纷暂停服务。

Trustwave SpiderLabs 高级安全研究经理 Karl Sigler（西格勒） 最近坐下来讨论当天发生的事情以及随后发生的事情。

问：您能总结一下当时的情况吗？情况还会更糟吗？

西格勒： 850 万台电脑屏幕全部空白，这些电脑均由 CrowdStrike 提供服务。此次中断发生在 CrowdStrike 推出补丁后的 78 分钟内。

这是我从未见过的令人难以置信的故障，它让我们想起了 2000 年之前的黑暗预言：千年虫将导致全球计算机崩溃。但那并没有发生，在这种情况下，CrowdStrike 的中断仅限于其安装了 Falcon软件客户端计算机，而不是像有些人预测的千年虫问题那样导致全球灾难。

其影响似乎是灾难性的，可能与千年虫问题类似，因为 CrowdStrike 已发展成为一个全球性组织，因此其影响非常广泛。

此补丁专门针对 CrowdStrike 的 Falcon 软件的 Microsoft Windows 版本，因此它只影响安装了 CrowdStrike 的 Windows 操作系统。世界上大多数计算机仍在运行，没有出现严重后果。如果出现任何问题，那就是当一台计算机崩溃时，它下面的其他从属计算机没有安装 CrowdStrike，但仍然无法运行。在医疗保健等行业尤其如此，因为许多计算机系统各不相同，但又试图相互通信。

问：可以合理地假设，同时为数百万台计算机打补丁是一项挑战，但大多数升级过程都没有出现任何问题。您认为这个特定补丁发生了什么？

西格勒：是的，补丁可能是一个挑战。当必须快速安装补丁时，我们称之为敏捷补丁。与许多供应商一样，CrowdStrike 不想让客户决定何时安装补丁。因此，他们实现了交付自动化。早在三月份，CrowdStrike 就发布了与此补丁同组的一系列补丁，该公司认为后续补丁将是安全的，不需要更多的质量保证。

然而，错误发生了，所有计算机都关闭了。这只是人为失误。

问：恢复工作面临的最大挑战是什么？

西格勒：那是一个可怕的过程。机器没有运行操作系统，必须手动从每台机器上删除坏补丁。对于大型组织来说，这可能需要数周时间才能完成，而对于较小的公司来说，可能需要几天时间。

问：这次事件是否应该导致以不同的方式实施补丁？

西格勒：人们普遍认为 CrowdStrike 补丁在全球的部署是罪魁祸首。我不认为这是问题所在。当你达到那个规模时，你只需要更加注意开发高质量的产品。他们应该更好地预防这种情况。

问：客户是否需要建立一个系统来检查补丁是否有危险？

西格勒：终端的冗余层可能无济于事。同一台计算机上的两个反恶意软件安全系统可能相当于相互竞争的软件，并且会造成比它们所节省的更多的问题。必须明白，分层保护无法阻止 CrowdStrike 软件崩溃，因为这是一个错误，而不是网络攻击。

问：政府是否应该发挥作用，确保此类事件及类似事件不再发生？

西格勒：我支持制定法规。一些安保公司花费过多时间担心利润底线，并在这一过程中引入了安全风险。政府对事故或疏忽处以更多惩罚的威胁应该会迫使公司在未来进行更多的质量保证。欧盟、英国以及日本和韩国等国家实施的安全法规比美国还要多 。我们应该密切关注这些法规带来的好处。