CrowdStrike服务中断揭示全球IT脆弱性，导致机场、银行瘫痪 - 彭博社

由于CrowdStrike在7月19日在纽约引起的全球通信中断，时代广场的数字广告牌出现空白。

摄影师：Selcuk Acar/Anadolu/Getty Images733 Middle River位于劳德代尔堡最宽阔的航道之一，拥有108英尺的超级游艇深水码头。

来源：传奇制作

当英国国家医疗服务体系的医生布伦丹·德兰尼（Brendan Delaney）于星期五出现在伦敦诊所时，他期待着一个忙碌的一天，接诊患者。

距离东南伦敦的医院和诊所遭受毁灭性网络攻击已经两个月了。像德兰尼这样的医生，他还是伦敦帝国学院的教授，终于开始感受到了一种恢复正常的感觉。他们可以再次发送紧急血液检测，网络安全专家正在努力修复和更换先前被犯罪黑客团伙关闭的信息技术系统。

但就在他到达时，他看到接待员匆忙收集纸笔记本，寻找业务连续性计划。英格兰各地医生使用的查看患者记录的系统突然不起作用了。

这次问题不是勒索软件团伙造成的。而是一家旨在保护人们免受黑客侵害的公司。网络安全软件制造商中最大的之一，CrowdStrike Holdings Inc.发布了一个有缺陷的更新，引发了一场全球性IT崩溃，使全球各地的机场、银行、证券交易所和企业陷入瘫痪。

微软公司 Windows 恢复屏幕显示在纽约肯尼迪国际机场，7月19日。摄影师：迈克尔·纳格尔/Bloomberg令人难以置信的是，根据专家的说法，一个微小的文件 — 只足够容纳一个网页图像，导致了全球最大的IT故障。这个名为“C-00000291*.sys”的文件被埋在 CrowdStrike 的 Falcon 传感器产品的更新中。这个有问题的文件导致了微软公司的 Windows 操作系统出现错误，使计算机无法运行，并触发了令人恐惧的“蓝屏死机”。

这一事件揭示了全球IT系统在前所未有的规模上的脆弱性，并突显了如此多的组织和个人变得依赖少数几家科技公司的危险。如果其中一家公司发生故障或遭受黑客攻击，其后果可能会波及全球经济的广泛领域。微软通过其 Windows 操作系统主导个人计算业务，而 CrowdStrike 已成为数千家公司和组织寻求保护其最重要系统免受网络攻击的首选供应商。

阅读更多： 解析 CrowdStrike 和全球IT故障

CrowdStrike 在加利福尼亚州圣尼维尔的办公室摄影师：本杰明·范乔伊/Bloomberg微软之后，CrowdStrike 是“现代端点保护”软件的第二大制造商，控制着市场份额的18%，根据研究公司IDC的数据。这家总部位于奥斯汀的公司将其产品销售给全球29,000家组织，因此这次故障可能影响了数百万台计算机，这些计算机可能需要数周甚至更长时间才能恢复在线，因为它们必须手动修复。

“这真是一团糟”，前英国国民保健服务（NHS）医生、网络安全和公共卫生专家Saif Abed说道。“CrowdStrike 影响了微软，而整个NHS 依赖于微软。这是潜在失败的多米诺效应。”

周五，随着故障从亚洲和澳大利亚蔓延到欧洲和美国，CrowdStrike 的联合创始人兼首席执行官George Kurtz为错误道歉。“这不是一起安全事件或网络攻击，”他说。“问题已经被识别、隔离，并已部署了修复方案。”

George Kurtz摄影师：David Paul Morris/BloombergKurtz 没有具体说明漏洞是如何进入更新的。但他所在行业的一些长期批评者已经有了一个可行的理论。他们说，CrowdStrike 和其他网络安全公司在追求更大利润并试图取悦股东的过程中，牺牲了基本、乏味的安全原则。

“是时候让这个行业成熟起来，也许放慢一点速度，”总部位于爱丁堡的安全服务公司Quorum Cyber的创始人兼首席执行官Federico “Fede” Charosky说。“某个开发人员做了一个改变，但没有分析这个改变会产生什么影响。显然存在质量保证和测试方面的缺失，以及为了追求速度而采取捷径。这表明我们对运行一切的技术的完全信任是妄想的。”

星期五发生的事情极为罕见，但CrowdStrike的Kurtz以前曾经历过类似情况。早在2010年，他曾是杀毒软件先驱McAfee的首席技术官。那年4月，McAfee发布了一个更新，错误地将一个合法的Windows文件标记为感染，导致全球各地的医院、学校和政府机构的计算机瘫痪。

公司仅16分钟后撤回了有问题的更新，但那时它已经安装在了超过1600个客户的计算机上，根据Dave DeWalt的说法，当时是McAfee的CEO，现在经营一家专注于网络安全的风险投资公司。“那天我们损失了大约40%的市值，” DeWalt在一次采访中说道，还补充说公司派遣了近4000名员工乘飞机帮助受影响的客户恢复。

7月19日，纽约时代广场的微软办公室店。摄影师：Michael Nagle/Bloomberg最终，McAfee从危机中恢复过来，但当时的员工描述这一事件极为创伤和令人羞愧。四个月后，英特尔公司宣布收购了该公司。

网络安全行业观察人士想知道CrowdStrike是否会从自己的错误中吸取教训。已经有人表示，这家公司早就自找麻烦。多年来，CrowdStrike一直抨击微软允许黑客侵入其系统，Kurtz一直将这些疏漏作为自己产品的卖点。

美国政府发布了一份报告，批评微软存在一系列安全问题，不久之后，Kurtz便引用这些发现向投资者宣布，并在财报电话会议上表示，微软的问题引发了潜在客户的“大量请求”。他说：“在微软安全客户群体中，安全和IT团队之间普遍存在信心危机。”

“CrowdStrike尽可能地抨击微软，试图从中获利，”Charosky说道。“但是当你的公司成为世界基础设施的重要组成部分时，没有人能幸免。这就是因果报应。当一家公司从初创公司发展为关键的国家基础设施时，它需要有不同的行为，我不知道CrowdStrike是否经历了这种转变。”

一些网上评论员将CrowdStrike的错误更新描述为“年度恶意软件”，因为它造成的破坏程度。与黑客攻击代码的玩笑式比较在现实中有一定依据。受影响组织的恢复时间可能需要数周甚至更长，与大型组织在勒索软件攻击后重建网络所需的时间大致相同，网络安全专家表示。

使计算机重新联机面临的最大挑战是，需要逐台计算机手动应用CrowdStrike的修复程序，而且需要具有管理员权限的人员执行——这是一个极其耗时的过程，在远程办公的时代尤为困难。

悉尼机场Jetstar Airways自助办理登机的自助办理机，7月19日。摄影师：Brendon Thorne/BloombergPlano, Texas总部的网络安全服务公司Accelerynt Inc.的联合创始人兼主席Michael Henry表示，一家大型美国零售商的一位客户不得不召集全部IT人员，让他们全天候手动更新大约6000台受影响的计算机。他说，该公司预计需要整个周末才能恢复关键系统，并且可能需要长达三周的时间才能完全恢复所有系统的在线状态。

“太疯狂了。他们正在进行分级处理，首先专注于关键系统，”Henry说。“这是一个零售业务，所以他们确保商店能够重新开业。”

在停机事件之后，Henry提出了许多人都在问的一个问题：这是怎么发生的？

“CrowdStrike对全球业务的干扰比所有勒索软件运营商加起来还要多，”他说。“这展示了我们使用的用于保护自己的软件带来了多大的风险：如果这些家伙搞错了，他们可以让你的业务垮掉。”

德克萨斯州奥斯汀星巴克店屏幕上的错误信息，7月19日。摄影师：Jordan Vonderhaar/BloombergKurtz在周五晚间发表的一份声明中表示：“随着这一事件的解决，我承诺将全面透明地说明发生了什么以及我们正在采取哪些措施来防止再次发生类似事件。我们正在进行技术更新和根本原因分析，我们将与所有人分享。”

网络安全和法律专家表示，几乎可以肯定CrowdStrike将面临诉讼、财务成本和其他处罚。这一事件也肯定会引发关于少数网络安全公司手中权力和风险不断集中的新讨论。

按照硅谷的标准，网络安全行业相对年轻，是在蠕虫和软盘病毒时代成熟起来的，20年前由Symantec和McAfee这两家公司主导，它们的杀毒产品专注于一种现在看来有些古老的策略，即编写“签名”来阻止已知的恶意软件品种。

纽约肯尼迪国际机场于7月19日显示重新启动消息的屏幕。摄影师：Michael Nagle/Bloomberg如今，攻击者变得更加先进，传统的杀毒软件已经不再受欢迎，这导致那些传统的安全制造商退出舞台。取而代之的是，人们需要能够检测PC上各种威胁并自动修复它们的产品。

问题在于这些技术主要由微软和CrowdStrike控制。包括纽约大学计算机科学教授Justin Cappos在内的一些专家表示，他一直在警告安全行业的整合以及随之而来的集中决策可能会导致重大问题，这是科技领域其他地方已经发生的辩论。

“大公司在科技领域犯下大错误，”他在一次采访中说道。“我们看到的很多真正糟糕的安全设计都是由主要公司的努力产生的。”

杰夫·贝索斯拥有亿万富翁避难所。肯·格里芬主宰星岛。其他数十位亿万富翁和产业领袖炫耀着富丽堂皇的棕榈滩庄园。

但对于那些财富不那么雄厚的人来说，总有劳德代尔堡。