据报道，由第三方网络安全公司 CrowdStrike 引起的全球 Windows 中断已影响到航空公司、银行、媒体广播公司、学校和超市等企业。全球范围内的 Windows 用户都遭遇了蓝屏死机，此次事故导致 1,000 多个航班被取消。今天有超过 3,200 个航班计划起飞，这是今年英国航班最繁忙的一天 在英国以外，社交媒体上流传着关于手写机票、长时间等待和技术故障的报道。

什么是 CrowdStrike？

CrowdStrike 是一家网络安全公司，它利用世界上最先进的云原生平台重新定义了安全性，该平台保护和支持推动现代企业发展的人员、流程和技术。CrowdStrike 保护最关键的风险领域 - 端点和云工作负载、身份和数据。

他们的旗舰安全工具 CrowdStrike Falcon 由 CrowdStrike Security Cloud 提供支持。该平台承诺提供全面保护，并利用实时攻击指标和威胁情报来提供准确的检测、自动保护和补救。

CrowdStrike 的软件非常受欢迎且被广泛使用，因此包括 Amazon Web Services、Microsoft 365、Azure、Instagram、eBay、Visa 和 AT&T 在内的平台都出现了多次中断。

怎么了？

近日，该公司警告其用户，Windows 系统“遇到了与 Falcon 传感器相关的错误检查/蓝屏错误”，并表示其工程团队“正在积极努力解决此问题”。显然，Falcon 软件的更新是导致此问题的原因；该公司显然已回滚了更新，但仍有大量机器受到影响。“CrowdStrike 已获悉与 Falcon Sensor 相关的 Windows 主机崩溃报告，”这家网络安全公司在周五美国东部时间凌晨 1:30 确认发生中断的警报中写道。据 BBC 报道，美国东部时间早上 6 点之前，该公司又发表了另一份声明。Downdetector 是检查哪些服务出现问题的好地方。

Mac 和 Linux 主机不受影响。这不是安全事件或网络攻击。问题已被识别并隔离，随后将进行修复。幸运的是，CrowdStrike 已于美国东部时间凌晨 2:30 宣布已识别出导致问题的更新并将其回滚。该公司还为遇到问题的人提供了一种解决方法。

这个问题有多普遍？

据报道，英国及周边地区的航空公司、铁路、全科医生诊所、银行和电视台都因此次事故而停运。达美航空、美国航空、瑞安航空和联合航空等全球多家航空公司都因此次事故而停飞。上周五早些时候，天空新闻无法直播电视，显然也是由于这一事件。CrowdStrike 软件通常由公司的系统管理员维护。今天有超过 3,200 架航班起飞，是今年英国航班最繁忙的一天。

所以，祝各位系统管理员周末愉快，好运连连，愿上帝保佑你们的灵魂。你们会需要它的！！！

什么是蓝屏死机？

如果您很幸运从未见过蓝屏死机，那么它是 Windows PC 上的一种严重错误，它基本上会停止计算机正在执行的任何操作并在蓝屏上显示错误报告。BSOD 的常见原因包括驱动程序故障、硬件故障、过热甚至恶意软件。

有很多方法可以尝试解决 BSOD。简单的重启可能会解决临时问题。回滚最近的更改和更新。撤消可能导致问题的最近软件安装或更新。您可以将系统恢复到之前正常运行的状态。对于持续或复杂的问题，可能需要寻求专业的技术支持。

总之，此次中断不是安全事件或网络攻击。问题已被识别并隔离，随后将进行修复。如果您的组织使用 CrowdStrike 基础设施，该公司将为所有需要帮助的人提供实时援助。联系他们并解决问题。

Crowdstrike 中断事件已被称为“历史上最大的 IT 中断”，震惊了世界，一个简单的软件更新就让机场、银行、政府甚至紧急服务陷入瘫痪，可怕的蓝屏死机在各处闪烁。与大多数电影不同的是，这起事件被证明是网络犯罪分子策划的阴谋，但事实并非如此。

这是Crowdstrike（一种流行的安全解决方案）最新更新中的一个失误，Crowdstrike 是网络安全领域的知名品牌，受到全球一些大型企业和政府的信赖，如果只是说这家公司已经损害了其在行业中的地位，实在是太轻描淡写了！

但除此之外，从这次事件中吸取教训很重要，以确保我们不会犯同样的错误，虽然情况在不断变化，但以下是一些你可以立即受益的关键要点

1 — 学习而不是模仿

我自己也犯过这样的错误！

虽然发布表情包并嘲笑某些公司多么愚蠢很有趣，但请记住，您的公司下次可能会成为新闻。即使在我们这个新的人工智能驱动的世界里，人为错误的风险也始终存在，保持乐于助人的态度并祝愿 Crowdstrike 一切顺利，因为他们正面临着公司目前可能面临的最糟糕的情况和公关危机。

他们需要很长时间才能在网络安全行业中重建声誉并恢复之前的地位

2 — 是否存在网络攻击？

这是我强烈不同意 Crowdstrike 的地方

他们今天的官方声明仍然是：“这个问题不是由网络攻击造成的，也不与网络攻击有关。”

我对此持不同意见，因为可用性是网络安全的关键原则之一，而这一事件与它密切相关。这肯定会被标记为网络安全事件，一些 CIO 担心下一个崩溃的终端代理是什么，受影响最大的行业是网络安全行业，首席信息安全官必须证明他们在服务器和终端上运行的每个解决方案的合理性。

预计接下来的几周和几个月内 CISO 和供应商之间将会进行艰难的对话！

3 — 尽快建立威胁模型

每当我听到有人说

“我们使用 Macbook，所以我们躲过了这一劫。”

“我们不使用 Crowdstrike，所以感谢上帝！”

啊……今天是 Crowdstrike，明天又会是别的

当今的 IT 环境是软件代理和供应商的大杂烩，它们正逐渐成为单点故障，评估这种情况并问自己以下问题至关重要：

如果我的所有 Windows 服务器和端点都被取出，会发生什么情况？

我们能转向基于云的服务吗？

我们还有其他可以依赖的端点代理吗？

请放心，网络犯罪分子已经看到了这次中断所造成的损害，并思考如何从中获利！

4 - 检查补丁管理流程

不要在周末或之前打补丁

打补丁时，请分阶段进行，而不是批量更新

你可以想象数以百万计的 IT 支持人员会咒骂 Crowdstrike 忽视这些简单的教训

即使修复程序已经发布……由于修复程序最初需要手动操作，因此将其扩展到数千台服务器/端点对于 IT 支持团队来说将是一场噩梦

此外，大多数使用 Crowdstrike 的公司都对其服务器进行了加密，因此将其置于安全模式并不是一件容易的事情。

更不用说，基于云的服务器不能直接进入安全模式进行修复；你必须分离存储，修复它，然后再次连接它

这对于企业及其灾难恢复流程将是一次巨大的考验

值得庆幸的是，已经发布了许多脚本来自动化这些过程，但最初的支持是一场噩梦

如果您的公司发布了补丁，那么这将是重新评估您的修补实践的好时机！

切勿在周末打补丁，如果要打补丁，请分阶段进行，以便恢复到安全状态

（我不敢相信我必须在 2024 年明确提及这一点！）。

5 — 重新审视你的软件供应链

软件供应链是技术和网络安全中最大的盲点之一。

没有任何软件是 100% 从头开始制作的；它是软件库、公司和依赖项的大杂烩。

即使您无法消除这些依赖关系，您至少可以了解您拥有什么以及它的风险状况。

假设事情会失败/受到损害，然后根据该假设做好准备。

原文始发于微信公众号（KK安全说）：CrowdStrike IT 的技术思考