周五凌晨4点,当迈克尔·阿默(Michael Armer)的手机开始爆炸时,他“吓坏了”。
Armer是RingCentral的首席信息安全官,他收到了关于一次惊人的计算机故障的通知,这场故障像多米诺骨牌一样摧毁了机场、银行和医院的技术系统。
混乱的范围引发了人们对重大网络安全漏洞或国家支持的攻击的担忧。“这足以让你的血液流动得很快,”阿默说。
事实证明,大规模的计算机中断并不是邪恶的黑客所为。这是安全公司CrowdStrike在一次例行软件更新中出现故障的结果。“我们都非常幸运,这与他们的标准化和自动化软件部署有关,”Armer谈到CrowdStrike的更新混乱时说。
不过,除了让人松了一口气的是,此次中断并非网络攻击,这一事件还突显出现代社会所依赖的技术的脆弱性和令人恐惧的互联性,以及当今复杂的软件更新系统所带来的危险程度。安全专家表示,这种系统让员工们疲惫不堪,即使是在规模最大的企业,也不得不不断进行风险权衡。
补丁的问题
当检测到威胁时,CrowdStrike等安全软件会提供“补丁”或软件更新。考虑到黑客探测公司系统和设计新的攻击路线的数量,对补丁的需求是持续的——有时一天要打好几次。组织行动迅速,经常自动化这些更新,以确保他们的防护盾没有漏洞。
问题是,新软件就像未经测试的药物——每一行新的代码都可能有bug或缺陷,从而导致问题、意想不到的副作用,以及与其他软件的危险交互。在理想情况下,公司在将每个软件更新部署到所有计算机之前,应该花时间对其进行测试。
纽约一家顶级律师事务所的首席信息安全官表示:“这真的是一个难题,你跟不上这个数字。”他说:“有时候,你不得不发布安全补丁,因为它很关键,供应商一直在紧盯着你,你没有办法(测试)它。”“有时候在24小时内会有几次更新,所以你会陷入一个循环往复的测试中,你永远不会完成。”
对于许多内部安全团队来说,这意味着要在速度和风险之间取得平衡。软件供应链平台JFrog的首席信息安全官保罗?戴维斯(Paul Davis)表示:“杀毒产品每天都要推出多次更新,因为在某种程度上,我们把它们逼到了一个角落。”“他们对检测软件或恶意活动的反应越快,他们就越好。因此,在这种情况下,每天测试多次的要求变得非常繁重。”
他表示,真正的挑战是,如何保护正在应对网络安全威胁的组织,这些威胁可能在几小时甚至几分钟内传播,同时确保这些软件更新经过测试。“我们必须测试软件的基本功能,但我们依靠这些自动更新来确保安全,这几乎是一种计算风险。”
为每台受影响的电脑进行现场心肺复苏术
这家位于纽约的律师事务所使用了30多种独立的安全工具,这些工具来自不同的供应商,可以在笔记本电脑、台式机或服务器上运行。通常,如果更新导致问题,软件供应商将部署一个修复程序,组织可以在同一天内迅速将其推送到数千台计算机上。
但由于CrowdStrike漏洞的性质,这是不可能的。该漏洞导致运行微软Windows系统的电脑死机,并显示可怕的“蓝屏死机”。受影响的系统需要一个接一个地恢复正常。
纽约律师事务所CISO解释说:“你必须亲自走到每台电脑前,关掉电源,然后开机,当屏幕出现时,你必须按F3进入他们所谓的安全模式,然后去删除某个文件。”“这简直就是一场噩梦。”
然而,一些首席信息安全官把大部分责任归咎于微软,而不是CrowdStrike——如果可能的话,他们甚至完全避免使用Windows。一家中型人工智能公司的首席信息安全官(CISO)表示:“在硅谷,科技公司倾向于避免使用Windows。”由于讨论安全缓解措施的敏感性,他要求匿名。
他说,这是因为Windows核心架构的设计导致了恶意软件、间谍软件和驱动程序的不稳定,这些都是CrowdStrike有缺陷的更新造成的。
他说:“显然,CrowdStrike有明确的流程改进要做,但2024年不应该有一个被第三方破坏稳定的内核(核心架构)。”“从安全的角度来看,微软今年过得很糟糕,他们必须赢回生态系统的信任。”微软没有回应记者的置评请求,只是指出了其关于宕机的现有声明。
7月19日,CrowdStrike首席执行官乔治·库尔茨在网上发布了一份声明,为这次事件道歉,他说这涉及到“Windows主机的内容更新”,并指出Mac和Linux主机不受影响。“CrowdStrike的所有人都明白形势的严重性和影响。我们迅速发现了问题并部署了修复程序,使我们能够专注于恢复客户系统,这是我们的首要任务。”
赛后分析
JFrog的戴维斯反驳了一个典型的组织可以不使用Windows的想法。“Windows仍然是占主导地位的操作系统,”他说。“当你加入一家公司时,(通常)会提供给你一台Windows电脑或Mac电脑。”
身份安全公司Silverfort的首席信息安全官约翰?保罗?坎宁安(John Paul Cunningham)表示,上周五的宕机事件应该为企业敲响警钟,让企业对自动软件更新更加警惕。在Cunningham看来,并不是所有的威胁都是平等的,公司可以通过不总是默认自动更新来行使更多的自由裁量权。
“像CrowdStrike这样的公司经常建议进行自动更新,前提是使用最新版本的产品更安全,”他说。但他说,公司在推出产品之前可能会花更多时间进行测试,即使这需要多做一点工作。“只要安全团队知道有更新,他们就可以手动推出更新——更新本身仍然是自动的。”
RingCentral的Armer表示,对于大多数网络安全领导者来说,找出如何在风险和速度之间以及操作系统之间取得平衡,将需要一些赛后分析和决策。
虽然掌握软件更新很重要,但他指出,公司也应该谢天谢地,周五的宕机并没有更糟。“我个人很庆幸,这不是一次由国家支持的攻击,”他说。- Fortune.com/The纽约时报
×
