CrowdStrike錯(cuò)誤更新導(dǎo)致全球范圍Windows藍(lán)屏事件已經(jīng)發(fā)酵數(shù)日，該事件被業(yè)內(nèi)人士看作是“歷史上最大規(guī)模系統(tǒng)崩潰事件”，震驚了整個(gè)世界。

這次事件并非是某個(gè)國家級(jí)黑客組織或大師級(jí)黑客的杰作，而是CrowdStrike更新文件的一個(gè)錯(cuò)誤，導(dǎo)致包括機(jī)場(chǎng)、銀行、政府甚至緊急服務(wù)在內(nèi)的大量關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)因藍(lán)屏死機(jī)而癱瘓。

以下是安全專業(yè)人士從這次事件中可以汲取的五點(diǎn)重要教訓(xùn)。

1.無需幸災(zāi)樂禍，警惕害群之馬

Crowdstrike大規(guī)模系統(tǒng)崩潰事件是過去幾天最熱門的聊天話題之一，IT和安全專業(yè)人士們熱衷轉(zhuǎn)發(fā)表情包嘲諷該公司犯下的愚蠢錯(cuò)誤，但請(qǐng)記住，下一個(gè)出現(xiàn)在熱搜的可能就是你供職的公司。

隨著平臺(tái)化和云化的深入，網(wǎng)絡(luò)安全市場(chǎng)的市場(chǎng)集中度不斷提高，任何一次失誤都可能引發(fā)全球性的連鎖反應(yīng)。公有云的幾次重大停機(jī)事故已經(jīng)引發(fā)了全球性的“下云運(yùn)動(dòng)”，網(wǎng)絡(luò)安全行業(yè)需要反思如何緩解過度集中化的風(fēng)險(xiǎn)，避免單個(gè)企業(yè)的失誤對(duì)整個(gè)行業(yè)造成毀滅性的打擊。

2.網(wǎng)絡(luò)攻擊還是意外？

CrowdStrike的官方聲明否認(rèn)該事件是“網(wǎng)絡(luò)安全事件”或者“網(wǎng)絡(luò)攻擊”。但是網(wǎng)絡(luò)安全的一個(gè)關(guān)鍵原則是可用性，從手段和結(jié)果來看，對(duì)于CIO和CISO來說，這次事件顯然與一次大規(guī)模的網(wǎng)絡(luò)攻擊沒有什么區(qū)別（無需支付贖金，但恢復(fù)工作仍然極為痛苦）。

“一遭被蛇咬十年怕井繩”，此次事件后，相信大量CIO都會(huì)對(duì)EDR終端代理感到緊張。網(wǎng)絡(luò)安全行業(yè)的其他企業(yè)可能會(huì)是該事件的最大受害者，網(wǎng)絡(luò)安全企業(yè)與客戶之間的基本信任已經(jīng)被擊碎?，F(xiàn)在，CISO們需要為服務(wù)器和終端上運(yùn)行的每個(gè)安全解決方案重新辯護(hù)。接下來的幾周和幾個(gè)月里，CISO們和安全供應(yīng)商之間將會(huì)有很多艱難的對(duì)話。

3.立即對(duì)威脅模型進(jìn)行評(píng)估

過去幾天經(jīng)常會(huì)看到這樣的膚淺言論：“我們用的是Macbook，所以躲過了一劫”或“我們不用CrowdStrike，謝天謝地！”“我們是中資企業(yè)，所以不受影響，哈哈哈?！币溃裉斐鍪碌氖蔷W(wǎng)絡(luò)安全巨頭CrowdStrike，明天可能就是其他更拉垮的草臺(tái)班子。

現(xiàn)代IT環(huán)境是由各種軟件代理和廠商產(chǎn)品混合而成，單點(diǎn)故障幾乎不可避免。評(píng)估這種情況時(shí)，我們需要捫心自問：如果我的所有Windows服務(wù)器和終端都癱瘓了會(huì)怎樣？我們能轉(zhuǎn)向基于云的服務(wù)嗎？我們有其他可用的終端代理嗎？可以肯定的是，網(wǎng)絡(luò)犯罪分子已經(jīng)看到了這次停機(jī)事件造成驚人損失，并在思考如何從中獲利（最常見的操作是冒充修復(fù)工具或漏洞補(bǔ)丁的網(wǎng)絡(luò)釣魚攻擊）。

4.檢查你的補(bǔ)丁管理流程

永遠(yuǎn)不要在周末前或周末期間打補(bǔ)丁。在打補(bǔ)丁時(shí)，分階段進(jìn)行，而不是批量更新。可以想象，全球數(shù)百萬IT支持人員會(huì)無法理解CrowdStrike這種頭部企業(yè)居然會(huì)忽視這些最基本的流程。

即使微軟和Crowdstrike發(fā)布了修復(fù)程序和指南，但手動(dòng)修復(fù)方式對(duì)于管理成千上萬臺(tái)服務(wù)器/終端的IT團(tuán)隊(duì)來說依然是一場(chǎng)噩夢(mèng)。再加上大多數(shù)使用CrowdStrike的公司已經(jīng)加密了他們的服務(wù)器（例如Bitlocker），這讓恢復(fù)工作的痛苦指數(shù)進(jìn)一步上升。更不用說，基于云的服務(wù)器不能簡(jiǎn)單地進(jìn)入安全模式進(jìn)行修復(fù)；你必須分離存儲(chǔ)，修復(fù)它，然后重新連接。這將是對(duì)公司災(zāi)難恢復(fù)流程的巨大考驗(yàn)。幸運(yùn)的是，已經(jīng)有許多可用的自動(dòng)化腳本發(fā)布，大大提高恢復(fù)流程的效率。

如果你所在的（網(wǎng)絡(luò)安全）公司經(jīng)常發(fā)布補(bǔ)丁，現(xiàn)在是重新評(píng)估補(bǔ)丁管理實(shí)踐的好時(shí)機(jī)！永遠(yuǎn)不要在周末打補(bǔ)丁，如果必須這樣做，請(qǐng)采用分階段的灰度更新方法，確保能隨時(shí)回滾到安全狀態(tài)。

5.重新審視你的軟件供應(yīng)鏈

軟件供應(yīng)鏈?zhǔn)蔷W(wǎng)絡(luò)安全最大的盲點(diǎn)之一，業(yè)界對(duì)開源代碼或網(wǎng)絡(luò)安全企業(yè)自身的產(chǎn)品安全往往重視不足。事實(shí)上，沒有任何軟件是100%從頭開始制作的，大多是各種軟件代碼庫和依賴關(guān)系的混合體。即使你無法剔除這些依賴關(guān)系，至少可以深入了解你所擁有的代碼資產(chǎn)及其風(fēng)險(xiǎn)狀況。

要知道，與監(jiān)控并掌管全球數(shù)億設(shè)備的EDR/XDR軟件市場(chǎng)相比，Crowdstrike事件只是冰山一角。此外，開源供應(yīng)鏈攻擊和AI大模型數(shù)據(jù)泄漏的規(guī)模和損失可能會(huì)超出你的想象，任何企業(yè)，無論是軟件供應(yīng)鏈的上游還是下游企業(yè)，都需要為此類風(fēng)險(xiǎn)做好預(yù)案和防御措施。