CrowdStrike 解释为何错误更新未经过适当测试

CrowdStrike 周三分享了其事后初步审查的信息(https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/)，解释了为什么造成全球混乱的更新没有被内部测试发现。

这家网络安全巨头向其 Falcon 代理（传感器）提供了两种类型的安全内容配置更新：传感器内容和快速响应内容。

就传感器内容更新而言，它们提供了广泛的功能来帮助客户应对对手，并包括长期可重复使用的威胁检测功能。这些代码更新不是从云端动态获取的，而是经过严格测试的，客户可以选择将更新发布到其设备群的哪些部分。

另一方面，快速响应内容不是代码更新，而是一个专有的二进制文件，其中包含配置数据，可在无需更改代码的情况下提高设备上的可见性和检测能力。验证器组件会在内容发送给客户之前对其进行检查。

7 月 19 日推出的问题更新是一个快速响应内容更新，针对滥用命名管道的新型攻击技术。

根据自 3 月份以来进行的测试和部署，该内容验证器被信任能够识别任何问题。但是，该验证器包含一个错误，导致错误的更新通过了验证。

由于没有进行额外的测试，有问题的更新被推入生产环境，导致大约 850 万台运行 Windows 操作系统的设备进入蓝屏死机 (BSOD) 循环。

Windows 崩溃是由越界内存读取引发异常引起的。CrowdStrike表示，其内容解释器组件旨在“妥善处理可能存在问题的内容引发的异常”，但这次异常并未得到妥善处理。

CrowdStrike 计划改进快速响应内容测试，包括通过本地开发人员测试、内容更新和回滚测试、压力测试、模糊测试、稳定性测试和内容接口测试。内容验证器将为快速响应内容添加额外的检查，并增强错误处理。

此外，该安全公司表示正在实施快速响应内容的交错部署策略，客户将对这些更新的部署有更大的控制权。

CrowdStrike 周一宣布已经找到了一种加速修复受错误更新影响的系统的方法，并声称大量设备已经得到恢复。

该事件被描述为历史上最严重的 IT 故障之一，导致全球航空、金融、医疗保健和教育等领域出现严重中断。

美国众议院领导人要求 CrowdStrike 首席执行官乔治·库尔茨向国会作证，说明该公司在引发大规模停电事件中所扮演的角色。

与此同时，组织和用户已被警告，威胁组织正在利用这一事件进行网络钓鱼、诈骗和恶意软件传播。

参考链接：https://www.securityweek.com/crowdstrike-explains-why-bad-update-was-not-properly-tested/

讲述普通人能听懂的安全故事