CrowdStrike软件更新,全球850万台Windows设备瘫痪
众所周知,7月19日星期五发生了全球性 Windows 系统崩溃,事故源于 CrowdStrike 终端安全软件 “Falcon Sensor” 推送错误的配置更新,其内核驱动文件 csagent.sys 导致了大量 Windows 系统出现蓝屏、启动循环、应用程序异常和无法上网等影响正常使用的问题。
微软 7 月 20 日发布官方博客声称:“虽然软件更新偶尔会造成干扰,但像 CrowdStrike 这样的重大事故并不常见。我们目前估计,CrowdStrike 的更新影响了 850 万台 Windows 设备。”
在德国,至少两家医院取消所有非紧急手术;在美国,许多 911 和非紧急呼叫中心都无法正常工作;英国天空新闻台和澳大利亚广播公司无法直播新闻;Visa 收到消费者无法付款的消息;摩根大通的一些员工在登入时遇到问题,部分客户在存入支票或提款时遇到困难;航班跟踪公司 FlightAware 数据显示,当天全球超过 30,000 个航班延误,3,300 多个航班取消......
本次全球性蓝屏宕机堪称史上最严重的 IT 中断故障。它不仅让全球各地不同行业的运作立即陷入了混乱,还对社会个人活动带来了突如其来的影响,甚至会危及生命与健康。安德森经济集团首席执行官初步估算,CrowdStrike 造成的全球经济损失将超过 10 亿美元。
多年来,全球众多网络安全专家都鼓励大型企业和政府机构部署终端检测和响应(EDR)。但万万没想到,连续四次荣膺 Gartner 终端保护平台魔力象限领导者的 CrowdStrike,其公认领先的 EDR 技术引发了规模惊人的全球性 IT 中断故障。
Trellix 提供恢复服务,并持续监察全球威胁形势
全球性 IT 中断故障发生后,网络安全公司 Trellix 立马动员了其支持和专业服务团队,帮助全球大型企业环境和关键基础设施恢复系统。
如果您是 Trellix 的用户,就可以使用
Trellix Endpoint Forensics
搜索和验证缺陷文件或恶意文件的位置。Trellix Forensics 通过文件 hash 提供企业搜索功能,并验证 Crowdstrike .sys 文件是否位于正确的“C:\WINDOWS\SYSTEM32\DRIVERS\CROWDSTRIKE\”目录中。
同时,Trellix 也为使用 Trellix 加密软件的用户提供恢复受影响系统的步骤,帮助其渡过危机。
Trellix 还在网站发文表示,即使您不是 Trellix 的用户,也可以向 Trellix 寻求帮助。
Trellix 网站上提供了
Trellix Insights
恶意检测总览,持续监察与本次 IT 中断故障相关的威胁形势。所有指标均通过 Trellix Insights 全天候处理,每个人都可以在 Trellix 网站上获取实时情报和最新动态。
