劃重點(diǎn)

騰訊科技訊 7月20日消息，據(jù)國(guó)外媒體報(bào)道，歷史上，只有少數(shù)幾次出現(xiàn)過一段代碼瞬間癱瘓全球計(jì)算機(jī)系統(tǒng)的事件。然而，過去12小時(shí)撼動(dòng)全球互聯(lián)網(wǎng)和IT基礎(chǔ)設(shè)施的持續(xù)性數(shù)字災(zāi)難，似乎不是由黑客發(fā)布惡意代碼引發(fā)的，而是由旨在阻止網(wǎng)絡(luò)攻擊的安全軟件更新所致。那么一次有缺陷的內(nèi)核驅(qū)動(dòng)程序更究竟是如何導(dǎo)致全球計(jì)算機(jī)陷入重啟死亡螺旋的，又是如何導(dǎo)致航空旅行、醫(yī)院、銀行等癱瘓的？

周五，兩起重大互聯(lián)網(wǎng)基礎(chǔ)設(shè)施故障接踵而至，導(dǎo)致從機(jī)場(chǎng)、交通系統(tǒng)到銀行、醫(yī)院、酒店及媒體機(jī)構(gòu)等多個(gè)領(lǐng)域網(wǎng)絡(luò)服務(wù)全面中斷。先是周四晚間微軟Azure云平臺(tái)遭遇大范圍服務(wù)中斷，緊接著周五早晨，網(wǎng)絡(luò)安全巨頭CrowdStrike發(fā)布的一則帶缺陷軟件更新，將大量Windows設(shè)備拖入了無休止的重啟循環(huán)，二者共同編織了一場(chǎng)網(wǎng)絡(luò)風(fēng)暴。

微軟雖已聲明這兩起事件間無直接聯(lián)系，但造成這兩起災(zāi)難之一的原因已經(jīng)很清楚了：CrowdStrike安全軟件Falcon更新中的錯(cuò)誤代碼是導(dǎo)致這場(chǎng)災(zāi)難的核心因素之一。

01 安全軟件定期自動(dòng)更新惹禍

Falcon本質(zhì)上是一個(gè)殺毒平臺(tái)，可以在筆記本電腦、服務(wù)器和路由器等“端點(diǎn)”上深度訪問系統(tǒng)，以檢測(cè)惡意軟件和可能代表威脅的可疑活動(dòng)。然而，由于CrowdStrike不斷向系統(tǒng)中添加檢測(cè)功能，以抵御新的和不斷出現(xiàn)的新威脅，因此Falcon需要獲得定期自動(dòng)更新的許可。然而，這種安排的不利之處在于，這一旨在加強(qiáng)安全和穩(wěn)定的機(jī)制最終可能會(huì)破壞安全與穩(wěn)定。

網(wǎng)絡(luò)安全公司W(wǎng)ithSecure首席研究官米科·海普寧（Mikko Hypp?nen）說：“此宕機(jī)事件規(guī)?？涨?，全球工作站如此大范圍的中斷實(shí)屬歷史罕見?！彼仡櫡Q，十年前，網(wǎng)絡(luò)蠕蟲與木馬肆虐，大范圍中斷尚屬常態(tài)；而今，全球性的服務(wù)中斷則更多聚焦于系統(tǒng)的“服務(wù)器端”，歸咎于如亞馬遜AWS等云服務(wù)提供商的問題、互聯(lián)網(wǎng)鏈路中斷、身份驗(yàn)證故障或DNS服務(wù)異常等。

CrowdStrike首席執(zhí)行官喬治·庫(kù)爾茨（George Kurtz）周五承認(rèn)，此次危機(jī)源自該公司為Windows平臺(tái)發(fā)布的軟件代碼中存在的“缺陷”，而Mac與Linux系統(tǒng)沒有受到影響。他在官方聲明中指出：“問題已被迅速識(shí)別、隔離，且修復(fù)措施已部署完畢?！彼a(bǔ)充說，這一系列問題非網(wǎng)絡(luò)攻擊所致。面對(duì)媒體，庫(kù)爾茨誠(chéng)摯道歉，并坦言系統(tǒng)全面恢復(fù)可能需要一定時(shí)間。

安全與IT領(lǐng)域的分析師正深入探究此次大規(guī)模宕機(jī)的根源，他們普遍認(rèn)為其與CrowdStrike Falcon軟件的“內(nèi)核驅(qū)動(dòng)程序”更新有關(guān)。內(nèi)核驅(qū)動(dòng)程序是連接應(yīng)用程序與Windows操作系統(tǒng)核心（即內(nèi)核）的橋梁，賦予了安全軟件在系統(tǒng)最底層運(yùn)行的特權(quán)，這對(duì)于在惡意軟件入侵前進(jìn)行攔截至關(guān)重要。隨著惡意軟件技術(shù)的不斷進(jìn)化，安全軟件也必須持續(xù)升級(jí)其連接性和控制范圍以應(yīng)對(duì)挑戰(zhàn)。

然而，Magnet Forensics的檢測(cè)工程主管馬修·蘇徹（Matthieu Suiche）警示，這種深度訪問權(quán)限同樣伴隨著高風(fēng)險(xiǎn)，即安全軟件或其更新可能意外導(dǎo)致整個(gè)系統(tǒng)崩潰。他將在操作系統(tǒng)內(nèi)核級(jí)別運(yùn)行惡意代碼檢測(cè)軟件比作“開胸手術(shù)”。

在網(wǎng)絡(luò)安全領(lǐng)域擁有23年經(jīng)驗(yàn)的資深專家康斯丁·拉伊烏（Costin Raiu），曾在卡巴斯基領(lǐng)導(dǎo)威脅情報(bào)團(tuán)隊(duì)，他對(duì)此次事件表示震驚。他指出，在卡巴斯基，Windows軟件的驅(qū)動(dòng)程序更新會(huì)經(jīng)歷極其嚴(yán)格的審查和多輪測(cè)試，持續(xù)數(shù)周之久，以確保其穩(wěn)定性與安全性。因此，一個(gè)內(nèi)核驅(qū)動(dòng)程序的更新能引發(fā)如此廣泛且嚴(yán)重的全球計(jì)算機(jī)崩潰，確實(shí)出乎意料。

更為重要的是，業(yè)內(nèi)呼吁微軟加強(qiáng)對(duì)相關(guān)代碼的審查，并實(shí)施加密簽名機(jī)制，這一舉動(dòng)隱含了微軟可能同樣未能察覺CrowdStrike Falcon驅(qū)動(dòng)程序中的致命漏洞。拉伊烏說：“盡管我們對(duì)驅(qū)動(dòng)程序更新保持高度警覺，但此類事件仍時(shí)有發(fā)生，令人感到驚訝。一個(gè)小小的漏洞足以引發(fā)連鎖反應(yīng)，摧毀一切，這正是當(dāng)前局面的真實(shí)寫照?！?/P>

微軟一位發(fā)言人承認(rèn)：“CrowdStrike的更新確實(shí)導(dǎo)致了全球范圍內(nèi)眾多IT系統(tǒng)的癱瘓，但微軟并未直接監(jiān)督CrowdStrike在其平臺(tái)上的更新流程?！比欢?，該發(fā)言人并未明確回應(yīng)微軟是否對(duì)涉及的內(nèi)核驅(qū)動(dòng)程序更新進(jìn)行了獨(dú)立審查。

拉伊烏進(jìn)一步指出，CrowdStrike并非個(gè)例，安全領(lǐng)域的眾多公司，包括卡巴斯基乃至微軟自家的Windows Defender，在過去幾年中都曾通過驅(qū)動(dòng)程序更新不慎觸發(fā)了Windows系統(tǒng)的藍(lán)屏死機(jī)問題。他解釋稱：“幾乎每一個(gè)安全解決方案在其發(fā)展歷程中都會(huì)遭遇這樣的挑戰(zhàn)時(shí)刻。這并非新鮮事，只是影響范圍和后果有所不同罷了?！?/P>

02 諸多因素引發(fā)連鎖反應(yīng)

全球網(wǎng)絡(luò)安全機(jī)構(gòu)迅速響應(yīng)，紛紛發(fā)布針對(duì)此次大規(guī)模宕機(jī)事件的緊急警報(bào)。但在CrowdStrike首席執(zhí)行官正式表態(tài)之前，業(yè)界專家已基本達(dá)成共識(shí)：此次全球性的宕機(jī)事件非網(wǎng)絡(luò)攻擊所為。然而，其規(guī)模之廣仍屬罕見，主要?dú)w因于CrowdStrike Falcon軟件的廣泛應(yīng)用及其對(duì)Windows系統(tǒng)的高度控制權(quán)。

英國(guó)國(guó)家網(wǎng)絡(luò)安全中心首席執(zhí)行官費(fèi)利西蒂·奧斯瓦爾德（Felicity Oswald）說：“經(jīng)國(guó)家網(wǎng)絡(luò)安全中心的評(píng)估，這些事件與惡意網(wǎng)絡(luò)攻擊無關(guān)。”澳大利亞官方亦持相同立場(chǎng)。

約克大學(xué)安全自治研究所的約翰·麥克德米德（John McDermid）教授指出：“CrowdStrike的安全軟件普及率極高，廣泛部署于眾多特定類型的機(jī)器上，因此，一旦安全軟件出現(xiàn)故障，便有可能同時(shí)影響大量計(jì)算機(jī)的正常運(yùn)行。”

墨爾本大學(xué)計(jì)算機(jī)與信息系統(tǒng)學(xué)院的托比·默里（Toby Murray）教授則強(qiáng)調(diào)：“Falcon軟件擁有極高的權(quán)限，能夠深度影響所安裝計(jì)算機(jī)的行為，這也是其影響力如此巨大的原因之一?！?/P>

澳大利亞珀斯默多克大學(xué)IT學(xué)院院長(zhǎng)戴夫·帕里教授（Dave Parry）指出：“由于CrowdStrike的廣泛影響力，這一事件已演化為全球性現(xiàn)象。眾多企業(yè)及組織依賴其檢測(cè)和防御威脅，因此，此次問題波及范圍極廣，影響深遠(yuǎn)。這并非網(wǎng)絡(luò)攻擊，而是兩款軟件間的意外交互所致?！?/P>

亞特蘭大網(wǎng)絡(luò)安全公司Errata Security的首席執(zhí)行官羅伯特·格雷厄姆（Robert Graham）強(qiáng)調(diào)：“CrowdStrike等網(wǎng)絡(luò)安全軟件因需深入操作系統(tǒng)核心以抵御攻擊，一旦出錯(cuò)，其引發(fā)的宕機(jī)規(guī)模往往更為龐大，甚至可能觸發(fā)連鎖崩潰。這或許是我們所見證過的最為嚴(yán)重的IT故障之一。”

此次災(zāi)難性事件不僅凸顯了互聯(lián)網(wǎng)的脆弱性，也揭示了其深度互聯(lián)帶來的潛在風(fēng)險(xiǎn)。眾多安全專家表示，他們?cè)缫杨A(yù)見并努力預(yù)防類似CrowdStrike事件的發(fā)生，試圖防止防御軟件本身因被惡意利用或人為失誤而引發(fā)的連鎖故障。牛津大學(xué)教授、前英國(guó)國(guó)家網(wǎng)絡(luò)安全中心負(fù)責(zé)人夏蘭·馬?。–iaran Martin）指出：“這一事件深刻揭示了全球數(shù)字生態(tài)及核心互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性！”

03 網(wǎng)絡(luò)安全領(lǐng)域過度依賴少數(shù)公司？

CrowdStrike成立于2011年，為數(shù)以萬計(jì)的客戶提供抵御網(wǎng)絡(luò)攻擊的軟件，其中包括財(cái)富500強(qiáng)中的300家公司。市場(chǎng)研究公司Gartner的數(shù)據(jù)顯示，按收入計(jì)算，CrowdStrike占安全軟件市場(chǎng)份額的15%，這意味著它的軟件被廣泛應(yīng)用于各種系統(tǒng)。

然而，一次常規(guī)的軟件更新竟能引發(fā)如此規(guī)模的破壞，仍令資深安全專家拉伊烏感到不解。他推測(cè)，F(xiàn)alcon軟件的更新可能觸發(fā)了網(wǎng)絡(luò)基礎(chǔ)設(shè)施中其他組件的連鎖反應(yīng)，導(dǎo)致災(zāi)難性后果倍增。拉伊烏指出：“CrowdStrike雖規(guī)模龐大，但其影響力遠(yuǎn)不止于此。從機(jī)場(chǎng)到關(guān)鍵基礎(chǔ)設(shè)施，再到醫(yī)療機(jī)構(gòu)，不可能每個(gè)角落都依賴CrowdStrike。我傾向于認(rèn)為，這是多重因素交織的結(jié)果，一個(gè)級(jí)聯(lián)效應(yīng)，一連串的連鎖崩潰?！?/P>

倫敦大學(xué)學(xué)院計(jì)算機(jī)科學(xué)系的助理教授瑪麗·瓦塞克（Marie Vasek）也強(qiáng)調(diào)全球技術(shù)系統(tǒng)對(duì)少數(shù)幾家科技公司軟件的過度依賴，特別是微軟與CrowdStrike。她說：“問題的核心在于，微軟作為行業(yè)標(biāo)準(zhǔn)軟件，幾乎無處不在。而CrowdStrike的漏洞一旦暴露，便迅速蔓延至各個(gè)系統(tǒng)，揭示了全球技術(shù)生態(tài)的脆弱性?！?/P>

瓦塞克指出，隨著技術(shù)網(wǎng)絡(luò)的日益龐大、復(fù)雜與緊密相連，一行簡(jiǎn)單的軟件代碼錯(cuò)誤便可能觸發(fā)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的崩潰。她與其他信息技術(shù)專家共同強(qiáng)調(diào)，鑒于CrowdStrike的數(shù)字防護(hù)被視為不可或缺，其技術(shù)在眾多計(jì)算機(jī)系統(tǒng)中享有優(yōu)先使用權(quán)。因此，一旦CrowdStrike軟件出現(xiàn)問題，其訪問特權(quán)將加劇系統(tǒng)癱瘓的風(fēng)險(xiǎn)。

瓦塞克呼吁微軟與CrowdStrike雙方深入審查其程序流程，以避免此類廣泛的技術(shù)故障重演。她說，CrowdStrike應(yīng)審慎規(guī)劃軟件更新策略，確保安全無誤地部署至數(shù)百萬計(jì)算機(jī)網(wǎng)絡(luò)。同時(shí)，微軟也需加大力度，保障其他公司軟件更新不會(huì)對(duì)Windows系統(tǒng)的穩(wěn)定性造成負(fù)面影響，并探索更有效的機(jī)制來驗(yàn)證軟件兼容性與穩(wěn)定性。

海普寧暗示，CrowdStrike可能發(fā)布了與測(cè)試版本不符的軟件，或是在更新過程中發(fā)生了文件混淆，亦或是多種因素共同作用的結(jié)果。他強(qiáng)調(diào)，此類軟件必須經(jīng)過嚴(yán)格的測(cè)試流程，這是他們以及CrowdStrike需要共同遵循的原則。他指出，安全軟件的更新頻率極高，因此必須格外小心，確保每次發(fā)布的內(nèi)容都準(zhǔn)確無誤，這無疑是一項(xiàng)極具挑戰(zhàn)性的任務(wù)。

盡管宕機(jī)事件的影響尚未完全消散，且部分問題的解決仍在進(jìn)行中，但問題的特性決定了受影響的個(gè)別機(jī)器可能必須依賴手動(dòng)重啟，而非自動(dòng)化流程。CrowdStrike首席執(zhí)行官庫(kù)爾茨在采訪中稱：“部分系統(tǒng)可能需要較長(zhǎng)時(shí)間方能自動(dòng)復(fù)原?！?/P>

CrowdStrike最初提出的“臨時(shí)解決方案”建議Windows用戶以安全模式啟動(dòng)系統(tǒng)，刪除特定文件后再行重啟。然而，海普寧指出：“截至目前，我們觀察到的修復(fù)方法意味著每臺(tái)機(jī)器都需要人工檢查，鑒于全球范圍內(nèi)數(shù)百萬臺(tái)設(shè)備受到影響，這一過程可能需要數(shù)日之久?！?/P>

隨著系統(tǒng)管理員們爭(zhēng)分奪秒地控制事態(tài)發(fā)展，如何防范未來類似危機(jī)的更深層次問題——即存在性挑戰(zhàn)——愈發(fā)凸顯。網(wǎng)絡(luò)安全咨詢機(jī)構(gòu)Hunter Strategy的研發(fā)副總裁杰克·威廉姆斯（Jake Williams）強(qiáng)調(diào)：“此次事件或促使人們重新審視并調(diào)整現(xiàn)有運(yùn)營(yíng)模式。CrowdStrike的案例，無論好壞，都鮮明地揭示了未經(jīng)IT部門審核便推送更新的不可持續(xù)性。”（編譯/金鹿）