信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

近日，CrowdStrike最新報告顯示約3%的設(shè)備錯過“搶救時機(jī)”，至今未能從此前的CrowdStrike軟件更新引發(fā)的全球性系統(tǒng)崩潰事件中恢復(fù)。

盡管大部分受影響的系統(tǒng)已經(jīng)恢復(fù)正常運(yùn)行，但CrowdStrike大規(guī)模系統(tǒng)崩潰事件給全球經(jīng)濟(jì)和網(wǎng)絡(luò)安全行業(yè)帶來的損失和深遠(yuǎn)影響遠(yuǎn)超業(yè)界預(yù)期。此次事件不僅導(dǎo)致了全球范圍內(nèi)的業(yè)務(wù)中斷，還對企業(yè)的運(yùn)營和經(jīng)濟(jì)造成了深遠(yuǎn)影響。本文將從以下五個方面詳細(xì)評估這次事件的影響及其后續(xù)發(fā)展。

3%的系統(tǒng)設(shè)備至今回天乏術(shù)，損失高達(dá)54億美元

在此次由CrowdStrike軟件更新引發(fā)的全球性系統(tǒng)崩潰事件中，微軟統(tǒng)計顯示約有850萬臺Windows設(shè)備受到影響。雖然CrowdStrike首席執(zhí)行官George Kurtz表示，97%的受影響設(shè)備已經(jīng)恢復(fù)正常，但仍有約25萬臺系統(tǒng)設(shè)備（約3%）至今未能恢復(fù)。從事件響應(yīng)周期和成本來看，這些設(shè)備可能已經(jīng)錯過了最佳“搶救時機(jī)”，失去了恢復(fù)的可能或價值。專家指出，由于系統(tǒng)的崩潰，這些設(shè)備可能需要進(jìn)行完全重置或更換，導(dǎo)致企業(yè)額外的時間和金錢投入。

此次藍(lán)屏事件對全球經(jīng)濟(jì)和各行業(yè)造成了巨大的顯性和隱性損失。根據(jù)Parametrix Insurance的估計，此次事件給財富500強(qiáng)公司帶來的損失約為54億美元。這一損失不僅包括因系統(tǒng)崩潰導(dǎo)致的直接經(jīng)濟(jì)損失，還包括航班取消、緊急響應(yīng)系統(tǒng)癱瘓等引發(fā)的連鎖反應(yīng)。例如，達(dá)美航空由于機(jī)組調(diào)度系統(tǒng)癱瘓，不得不取消數(shù)千航班，造成大量乘客滯留和航空運(yùn)營混亂。銀行、醫(yī)療機(jī)構(gòu)和其他關(guān)鍵基礎(chǔ)設(shè)施也受到了嚴(yán)重影響，進(jìn)一步放大了此次事件的負(fù)面影響。

最危險的黑客：CrowdStrike

Crowdstrike首席執(zhí)行官在X上矢口否認(rèn)CrowdStrike更新導(dǎo)致全球大規(guī)模系統(tǒng)崩潰是安全事件，結(jié)果遭到大批安全專業(yè)人士在跟帖中群起圍攻，稱該事件比任何網(wǎng)絡(luò)攻擊都更可怕。

此次事件暴露了網(wǎng)絡(luò)安全公司自身也是一種安全威脅。在微軟藍(lán)屏事件之前，美國政府剛剛封殺了卡巴斯基，“罪名”是對美國國家安全構(gòu)成威脅，但頗具諷刺意味的是，Crowdstrike導(dǎo)致的微軟藍(lán)屏事件，其殺傷力和爆炸半徑遠(yuǎn)超任何一次網(wǎng)絡(luò)攻擊，同時也表明美國政府認(rèn)為卡巴斯基對國家安全構(gòu)成威脅，絕非危言聳聽。

CrowdStrike作為全球知名的網(wǎng)絡(luò)安全公司，其產(chǎn)品在眾多企業(yè)和政府機(jī)構(gòu)中得到廣泛應(yīng)用。然而，正是這種高度的市場集中，使得任何一次失誤都可能引發(fā)全球性的連鎖反應(yīng)。這再次提醒我們，網(wǎng)絡(luò)安全市場的健康發(fā)展需要多元化的競爭格局，以避免單一企業(yè)的失誤對整個行業(yè)造成毀滅性打擊。

微軟可能改變內(nèi)核訪問政策

當(dāng)安全軟件在內(nèi)核模式而非用戶模式下運(yùn)行時，可以完全訪問系統(tǒng)的硬件和軟件，使其加強(qiáng)大和靈活，但這也意味著像CrowdStrike的錯誤更新可能會導(dǎo)致更多問題。

CrowdStrike的Falcon傳感器軟件由于運(yùn)行在內(nèi)核模式下，對系統(tǒng)硬件和軟件具有完全訪問權(quán)限，這使得其更新問題帶來的影響尤為嚴(yán)重。相比之下，macOS最近版本已經(jīng)棄用第三方內(nèi)核擴(kuò)展，避免了類似問題。微軟過去曾嘗試限制第三方安全公司訪問Windows內(nèi)核，但遭遇了歐盟委員會的強(qiáng)烈反對。微軟在增強(qiáng)系統(tǒng)安全性方面面臨兩難困境：一方面需要加強(qiáng)安全措施，另一方面又需避免引發(fā)反壟斷審查。

Cable指出，VBS enclave和Azure Attestation就是可以保證Windows安全而無需內(nèi)核級訪問的產(chǎn)品示例，而大多數(shù)基于Windows的安全產(chǎn)品（包括CrowdStrike的Falcon傳感器）現(xiàn)在都（應(yīng)該）這樣做。

微軟副總裁約翰·凱布爾(John Cable)在一篇博文中表示，微軟已經(jīng)“聘請了超過5000名支持工程師，每周7天、每天24小時不間斷工作”，以幫助清理CrowdStrike更新所造成的混亂，并暗示W(wǎng)indows的更改可能會有所幫助，前提是不違反監(jiān)管機(jī)構(gòu)的規(guī)定。

CISO對網(wǎng)絡(luò)安全巨頭失去信任

此次事件不僅暴露了系統(tǒng)的技術(shù)漏洞，也引發(fā)了首席信息安全官（CISO）對網(wǎng)絡(luò)安全供應(yīng)商的信任危機(jī)。許多CISO表示，此次事件后，他們對現(xiàn)有單一網(wǎng)絡(luò)安全解決方案/平臺的可靠性產(chǎn)生了嚴(yán)重懷疑。這種信任危機(jī)可能促使企業(yè)重新評估其網(wǎng)絡(luò)安全策略，并更加謹(jǐn)慎地選擇合作伙伴。事件發(fā)生后，一些CISO甚至公開表示，他們將考慮減少對單一供應(yīng)商的依賴，轉(zhuǎn)而采用多重防御策略，分散采購安全工具，以降低未來類似事件對企業(yè)運(yùn)營的影響。

CrowdStrike的救贖——一張“假”打車券

CrowdStrike在事件響應(yīng)和恢復(fù)過程中犯下了諸多錯誤。首席執(zhí)行官George Kurtz一開始否認(rèn)這是網(wǎng)絡(luò)安全事件，試圖用外交辭令淡化事件，引發(fā)了公眾的不滿。

雪上加霜的是，CrowdStrike在事件回顧報告中雖然提出了很多切實(shí)的測試流程整改計劃，但矢口否認(rèn)自己有任何“不負(fù)責(zé)任的行為”，在業(yè)界矚目的內(nèi)部事件調(diào)查報告中，CrowdStrike居然將責(zé)任歸咎于“意外/失誤”而非“錯誤/缺陷”，這種低劣的詭辯，導(dǎo)致CrowdStrike的“品設(shè)”徹底塌方。

CrowdStrike令人吃驚的不僅僅是“無出其左”的公關(guān)能力，營銷部門的表現(xiàn)同樣“炸裂”。事件發(fā)生后，CrowdStrike向部分損失慘重的客戶和合作伙伴提供的補(bǔ)償居然是價值10美元的UberEats促銷碼，而且，據(jù)一位CrowdStrike銷售代表透露，該優(yōu)惠碼一度被Uber判定為欺詐行為而無法使用。

最終，CrowdStrike的一系列技術(shù)和非技術(shù)性的應(yīng)對措施，不僅未能有效緩解事件帶來的負(fù)面影響，反而進(jìn)一步損害了自身和整個網(wǎng)絡(luò)安全行業(yè)的聲譽(yù)。