CrowdStrike的漏洞破坏性巨大，没有简单的解决办法

源济

CrowdStrike的漏洞破坏性巨大，没有简单的解决办法

Original SHERYL ESTRADA 财富FORTUNE 2024年07月23日 08:01

图片来源：SELCUK ACAR/ANADOLU VIA GETTY IMAGES

 

自7月19日凌晨4点，当迈克尔·阿默（Michael Armer）的手机被打爆时，他“感到惊慌失措”。阿默是RingCentral的首席信息安全官，他收到了关于一场令人震惊的计算机故障的通知，这场故障像多米诺骨牌一样导致机场、银行和医院的技术系统纷纷瘫痪。

混乱的范围引发了人们对重大网络安全漏洞或国家支持的攻击的担忧。阿默说：“这足以让你血脉偾张。”

事实证明，这次大规模的计算机故障并非邪恶黑客所为，而是安全公司CrowdStrike在例行软件更新中出现故障的结果。阿默在谈到CrowdStrike的更新故障时说：“我们都很幸运，这与他们的标准化和自动化软件部署有关。”

不过，在庆幸这次破坏不是网络攻击的同时，这次事件也凸显了现代社会所依赖的技术的脆弱性和可怕的互联性，以及当今错综复杂的软件更新系统所带来的危险程度。安全专家表示，即使是规模最大的企业也会让员工不堪重负，并迫使他们不断进行风险权衡的艰难抉择。

补丁的问题

当检测到威胁时，CrowdStrike等安全软件会提供“补丁”或软件更新。鉴于探测公司系统并设计新攻击路线的黑客数量之多，对补丁的需求是持续不断的，有时甚至一天数次。各企业行动迅速，通常会自动进行这些更新，以确保其防护盾没有漏洞。

问题是，新软件就像未经测试的药物——每一行新代码都可能有漏洞或缺陷，从而导致问题、意想不到的副作用，以及与其他软件的危险交互。在理想情况下，公司会花时间测试每个软件更新，然后再将其部署到所有计算机上。

纽约一家顶级律师事务所的首席信息安全官表示：“这确实是一个棘手的难题，你无法跟上黑客的数量。有时，你必须发布安全补丁，原因是它很关键，而供应商一直在紧盯着你，你根本无法对它进行[测试]。有时24小时内会有几次更新，这样你就会陷入反复测试的怪圈，永远无法完成测试。”

对于许多内部安全团队来说，这意味着要在速度和风险之间取得平衡。软件供应链平台捷蛙科技（JFrog）的首席信息安全官保罗·戴维斯（Paul Davis）表示：“防病毒产品每天都要推出多次更新，因为在某种程度上，我们已将其逼入绝境。它们检测软件或恶意活动的反应速度越快，就越有优势。因此，在这种情况下，每天进行多次测试的要求变得非常繁重。”

他说，真正的挑战是如何保护企业应对可能在数小时甚至数分钟内传播的网络安全威胁，同时确保这些软件更新经过测试。“我们必须测试软件的基本功能，但我们依靠这些自动更新来确保安全，这几乎就像是一种经过计算的风险。”

对每台受影响的计算机进行现场心肺复苏术

这家位于纽约的律师事务所使用了来自不同供应商的30多种独立安全工具，这些工具可在笔记本电脑、台式机或服务器上运行。通常情况下，如果更新导致问题，软件供应商会部署一个修复程序，企业可以在同一天内迅速将其推送到数千台计算机上。

但由于CrowdStrike漏洞的性质，这是无法实现的。该漏洞导致运行微软（Microsoft）Windows系统的电脑死机，并显示可怕的“蓝屏死机”。受影响的系统需要一个接一个地恢复正常。

纽约律师事务所的首席信息安全官解释说：“你必须亲自走到每台电脑前，关掉电源，然后再开机，当屏幕亮起时，你必须按F3键进入所谓的安全模式，然后去删除在某个位置存放文件。这简直就是一场噩梦。”

然而，一些首席信息安全官将大部分责任归咎于微软，而不是Crowdstrike，甚至尽可能避免使用Windows。一家中型人工智能公司的首席信息安全官表示：“在硅谷，科技公司倾向于避免使用Windows。”由于讨论安全功能缓解措施的敏感性，他要求匿名。他说，这是因为Windows核心架构的设计导致了恶意软件、间谍软件以及今天因Crowdstrike漏洞更新而出现的驱动程序不稳定。

他说：“CrowdStrike无疑需要进行流程改进，但在2024年不应该出现内核（核心架构）被第三方破坏稳定性的情况。从安全的角度来看，微软今年的表现很糟糕，必须赢得生态系统的信任。”微软没有回应置评请求，只是指出了关于此次故障的声明。

CrowdStrike首席执行官乔治·库尔茨（George Kurtz）7月19日在网上发表声明，为这一事件道歉，他说此次事件涉及到“Windows主机的内容更新”，并指出Mac和Linux主机不受影响。


“CrowdStrike的全体员工都明白这一事件的严重性和影响。我们迅速查明了问题所在，并部署了修复程序，从而能够专注于恢复客户系统，这是我们的首要任务。”

事后分析

捷蛙科技的戴维斯反驳了一般企业可以不使用 Windows 的观点。他说：“Windows仍然是占主导地位的操作系统。当你加入一家公司时，（通常）会提供给你一台Windows电脑或Mac电脑。”

身份安全公司Silverfort的首席信息安全官约翰·保罗·坎宁安（John Paul Cunningham）表示，7月19日的宕机事件应该给企业敲响警钟，让企业对自动软件更新更加谨慎。在坎宁安看来，并非所有的威胁都是一样的，企业需要更加谨慎，不要总是默认进行自动更新。

他表示：“像CrowdStrike这样的公司经常建议进行自动更新，但是这一前提是使用最新版本的产品更安全。”但他说，公司可以在推送之前花更多时间测试，即使这需要多花点功夫。“只要安全团队知道有更新，他们就可以手动推送，而更新本身仍是自动进行的。”

RingCentral的阿默表示，对于大多数网络安全领导者来说，如何在风险和速度之间以及各大操作系统之间取得平衡，需要进行一些事后分析和决策。

虽然进行软件更新很重要，但他指出，公司也应庆幸7月19日的宕机没有带来更糟糕的后果。他说：“我个人很庆幸，这不是一次国家支持的攻击。”（财富中文网）

译者：中慧言-王芳