2024年7月19日发生的全球信息技术中断导致从航空公司到医院等组织陷入瘫痪,甚至奥运会制服的运送也受到影响,这引起了网络安全专业人士、企业和政府日益增长的担忧。
此次中断是组织网络、云计算服务和互联网相互依赖的象征,也是由此产生的漏洞的象征。在这种情况下,CrowdStrike广泛使用的Falcon网络安全软件的自动更新出现故障,导致运行MicrosoftWindows操作系统的PC崩溃。不幸的是,许多服务器和PC需要手动修复,许多受影响的组织在世界各地有数千台服务器和PC。
对于微软来说,问题变得更加严重,因为该公司在CrowdStrike更新的同时发布了Azure云计算平台更新。微软、CrowdStrike和亚马逊等其他公司已经为愿意自行解决问题的客户发布了技术解决方案。但对于绝大多数全球用户,尤其是公司来说,这不是一个快速解决方案。
现代技术事件,无论是网络攻击还是技术问题,都以新颖有趣的方式继续使世界陷入瘫痪。像CrowdStrike更新故障这样的大规模事件不仅给商业世界带来了混乱,而且扰乱了全球社会本身。此类事件造成的经济损失(生产力损失、恢复、业务和个人活动中断)可能会非常高。
作为前网络安全专家和现任安全研究员,我相信世界最终会意识到现代信息社会建立在一个非常脆弱的基础上。
有趣的是,2024年6月11日,CrowdStrike自己博客上的一篇文章似乎预测了这种情况——全球计算生态系统因一家供应商的错误技术而受到损害——尽管他们可能没有想到他们的产品会成为原因。
软件供应链长期以来一直是严重的网络安全隐患,并且是潜在的单点故障。CrowdStrike、微软、苹果等公司可以直接、可信地访问组织和个人的计算机。因此,人们必须相信这些公司不仅自身安全,而且他们推出的产品和更新在应用到客户系统之前经过了充分测试且功能强大。2019年的SolarWinds事件涉及对软件供应链的黑客攻击,很可能被视为今天CrowdStrike事件的预演。
CrowdStrike首席执行官乔治·库尔茨(GeorgeKurtz)表示:“这不是安全事件或网络攻击”,并且“问题已被识别、隔离,并已部署修复程序。”虽然从CrowdStrike的角度来看,这也许是真的——他们没有受到黑客攻击——但这并不意味着此次事件的影响不会给客户带来安全问题。短期内,组织可能会禁用部分互联网安全设备,以试图解决问题,但这样做可能会让犯罪分子有机会侵入他们的网络。
人们也有可能成为各种的目标,这些利用用户对这个问题的恐慌或无知。不知所措的用户可能会接受虚假的帮助,导致身份被盗,或者浪费金钱购买虚假的解决方案。
组织和用户需要等待修复程序可用,或者如果他们有技术能力,尝试自行恢复。之后,我相信在世界从这次事件中恢复的过程中,有几件事要做和考虑。
公司需要确保他们使用的产品和服务是值得信赖的。这意味着要对此类产品的供应商进行尽职调查,以确保其安全性和弹性。大型组织通常会在允许任何产品升级和更新发布给内部用户之前对其进行测试,但对于安全工具等一些常规产品,可能不会这样做。
政府和公司在设计网络和系统时都需要强调弹性。这意味着要采取措施避免在基础设施、软件和工作流程中出现单点故障,因为对手可能会瞄准这些故障点,或者灾难可能会使情况变得更糟。这还意味着要知道组织所依赖的任何产品本身是否依赖于某些其他产品或基础设施才能发挥作用。
组织需要重申其对网络安全和一般IT管理最佳实践的承诺。例如,建立强大的备份系统可以更轻松地从此类事件中恢复并最大限度地减少数据丢失。确保适当的政策、程序、人员配备和技术资源至关重要。
软件供应链中出现此类问题,很难遵循标准的IT建议,始终保持系统修补和最新。不幸的是,现在必须权衡不定期更新系统的成本与再次发生此类情况的风险。