CrowdStrike:仅次于“千年虫”的史诗网安事件
文:小熊猫
发生了什么?为什么全球宕机?
7月19日包括全球不少机场都出现了紧急事故,甚至出现了停飞,停飞时间可能要到半天。
全球相当规模的Windows用户在今天更新CrowdStrike后遇到了蓝屏死机,并直接影响到了全球Window系统宕机。
一般出现这种问题是谁的责任?对Crowdstrike和微软的影响?
终端安全软件是有准操作系统权限的(这是非常高的权限),这样才能控制在终端系统上的操作,保障终端安全。所以终端安全软件的bug,会导致操作系统的崩溃(小测试,可以同时装5个不同厂商的杀毒软件,大概率系统也会蓝屏)。终端安全软件的更新往往一方面要保障自己不要出bug,另一方面要和操作系统厂商打好招呼(不然操作系统可能认为你是个病毒)。
这次问题大概率是Crowdstrike的问题,从目前披露的情况是Crowdstrike一个内核驱动文件csagent.sys导致Winsdows系统崩溃,目前的解决办法是先忽略这个文件名,把系统打开,然后再去做进一步处理。CRWD的工程师还在处理这个问题。
无非就两种情况 这个内核驱动文件有BUG,要么就是更新了驱动没有跟微软打招呼或者打了招呼微软还没给白名单。而微软的说法是:微软的一个发言是:Microsoft said in a statement, “We anticipate a resolution is forthcoming.” The company attributed the issue affecting Windows devices to “an update from a third-party software platform.)所以大概率是Crowdstirke自己的软件问题。
有多大责任,要赔钱吗,能赔多少?
按照SLA赔偿,可能没有多少钱,而且Crowdstrike的SLA是赔Credit,这还会后续影响到后面的收入计入方式。
虽CRWD有保护条款成功概率低,但如成功,可能造成的诉讼赔偿就是个巨量了。目前看到全球很多企业、机场因为装了CRWD的系统造成业务中断,那这种赔偿就要按照业务中断造成的损失去赔偿。美国是有集体诉讼制,之前有看到微软操作系统升级导致问题单用户赔偿1W美金,如果按这么个赔偿方法,那么仅看CRWD PC端5KW用户,目前看至少20%会受到影响,那就是个天价了。
在行业里能排得上号吗,是历史级别的大锅吗?
上次大范围操作系统级的bug问题,应该是“千年虫"了吧。Crowdstrike用户量还是小一些,但也绝对史诗级。
和Okta事件的对比:显然要比Okta事件的造成的影响大很多。Okta的问题是一个系统漏洞,好比买了一个防盗门(Okta),结果发现锁可以随便打开。但是不是真的被盗,要看有没有贼。而Crowdstrike的这个问题,相当于把用户的家给轰,直接造成了大量业务中断。
谁会受益?
这是一个每个男人都有可能犯的问题(任何系统都会出现bug和漏洞)。但是客户的信任会受到比较大的影响。而Crowdstrike之前相比其他厂商的优势在于部署的终端多(PC端大概5000万,仅次于微软,大于SentinelOne、Palo Alto的终端数量),终端回传上报的安全问题数据多,让Crowdstrike形成了一个比较庞大的云化安全情报库。每次能够较快的捕捉到安全问题,从而分发全网,让CRWD的客户可以更早更快的做好防御。而这个事件会导致用户的流失。而用户不会裸奔,大概率会走向微软、SentinelOne甚至Palo的终端安全产品,从而加强他们的安全情报能力。感觉对Crowdstrike的长远影响才刚刚开始。
过往的讨论会纪要请参考:
欢迎加入共识粉碎机的活动讨论群,获取更多活动信息
Data Infra:大模型决战前夜