導(dǎo)讀

2024年7月19日，全球多地的Windows用戶出現(xiàn)了大量電腦崩潰、藍(lán)屏死機(jī)、無法重新啟動(dòng)的事件。故障發(fā)生后，全球多個(gè)國家和地區(qū)的航班、醫(yī)療、銀行、交通等重要行業(yè)均受到不同程度的影響。

事件經(jīng)過

2024年7月19日凌晨4點(diǎn)09分，CrowdStrike公司向其Windows用戶發(fā)布了一項(xiàng)終端安全傳感器的配置更新。不幸的是，這次更新中包含了一個(gè)錯(cuò)誤配置，導(dǎo)致更新被安裝后，受影響的Windows設(shè)備開始出現(xiàn)系統(tǒng)崩潰并顯示藍(lán)屏錯(cuò)誤。此外，許多云服務(wù)客戶的Windows虛擬機(jī)也安裝了CrowdStrike安全產(chǎn)品，這些虛擬機(jī)在接收到錯(cuò)誤的配置更新后同樣遭受了藍(lán)屏故障，影響相比PC藍(lán)屏更加嚴(yán)重。

解決方案

方案1：建議受影響的用戶將電腦啟動(dòng)到安全模式或恢復(fù)環(huán)境，導(dǎo)航至C:\Windows\System32\drivers\CrowdStrike目錄，找到與“C-00000291*.sys”匹配的文件并將其刪除，即可正常啟動(dòng)電腦。

方案2：在安全模式下訪問C:\Windows\System32\drivers\CrowdStrike路徑，找到csagent.sys文件，通過在其文件名后增加數(shù)字和字母的方式進(jìn)行重命名，以暫時(shí)禁用該驅(qū)動(dòng)程序。此方法目的是繞過有問題的驅(qū)動(dòng)程序，從而避免藍(lán)屏問題。?

方案3：通過官方補(bǔ)丁進(jìn)行更新與修復(fù)。

我們要如何避免此類突發(fā)事件？

本次微軟服務(wù)的大規(guī)模中斷事件再次強(qiáng)調(diào)了：在復(fù)雜系統(tǒng)環(huán)境中，Agent穩(wěn)定運(yùn)行的重要性。Agent要穩(wěn)定運(yùn)行，不僅需要其內(nèi)部結(jié)構(gòu)設(shè)計(jì)得當(dāng)，更要求其具備強(qiáng)大的驅(qū)動(dòng)程序，同時(shí)測(cè)試過程也要非常嚴(yán)格和全面，確保能夠發(fā)現(xiàn)所有的潛在風(fēng)險(xiǎn)，建立一個(gè)更加堅(jiān)實(shí)和可靠的終端Agent軟件系統(tǒng)。

天融信終端安全負(fù)責(zé)人表示：安全產(chǎn)品需要自主可控和更完善的本地化服務(wù)。這一事件強(qiáng)調(diào)了對(duì)終端安全產(chǎn)品持續(xù)審查和測(cè)試的必要性，并突顯了國產(chǎn)安全產(chǎn)品的優(yōu)勢(shì)，尤其是在本地化服務(wù)方面。國產(chǎn)安全產(chǎn)品能夠提供更快速、更貼近市場(chǎng)的客戶支持，快速響應(yīng)并解決客戶面臨的問題，這在全球化的技術(shù)依賴中提供了一個(gè)可靠的本土化替代選擇。

天融信安全建議

構(gòu)建數(shù)據(jù)備份機(jī)制：加強(qiáng)數(shù)據(jù)備份機(jī)制，并進(jìn)行定期的恢復(fù)測(cè)試以驗(yàn)證備份的有效性，應(yīng)對(duì)數(shù)據(jù)丟失、系統(tǒng)故障或其他安全威脅。

加強(qiáng)企業(yè)應(yīng)急預(yù)案：建立全面的應(yīng)急預(yù)案體系，確保在危機(jī)發(fā)生時(shí)能夠迅速、有序地采取措施，最小化事件對(duì)企業(yè)運(yùn)營和聲譽(yù)的影響。

多元化供應(yīng)商協(xié)作：通過與多個(gè)供應(yīng)商建立合作關(guān)系，降低對(duì)單一供應(yīng)商的依賴，從而提高供應(yīng)鏈的彈性和穩(wěn)定性，避免因供應(yīng)商的不可預(yù)見問題導(dǎo)致生產(chǎn)中斷或成本增加。

應(yīng)用更新后置：延遲高風(fēng)險(xiǎn)應(yīng)用更新時(shí)間，從而降低更新可能帶來的風(fēng)險(xiǎn)，確保系統(tǒng)的穩(wěn)定性和可靠性。

灰度升級(jí)：在進(jìn)行產(chǎn)品大規(guī)模升級(jí)前，將新的軟件版本部署給一小部分用戶或系統(tǒng)，然后逐步擴(kuò)大到更廣泛的用戶群體，減少新版本可能帶來的風(fēng)險(xiǎn)，確保軟件更新的平穩(wěn)過渡和系統(tǒng)的穩(wěn)定性。

加速國產(chǎn)化替代：減少對(duì)外部供應(yīng)商的依賴，增強(qiáng)自主可控能力，同時(shí)快速響應(yīng)本地市場(chǎng)的需求和法規(guī)變化，構(gòu)建更為穩(wěn)固的網(wǎng)絡(luò)安全防線。

終端安全，一直是企業(yè)整體網(wǎng)絡(luò)安全防護(hù)體系中的重要環(huán)節(jié)。多年來，天融信始終堅(jiān)持技術(shù)攻關(guān)與創(chuàng)新，以輕量化理念進(jìn)行終端安全產(chǎn)品設(shè)計(jì)，實(shí)現(xiàn)高效穩(wěn)定的安全防護(hù)，通過輕驅(qū)或無驅(qū)模式簡化部署，減少資源消耗，并避免與現(xiàn)有驅(qū)動(dòng)的沖突，同時(shí)保持監(jiān)控的靈活性和可靠性。

在開發(fā)過程中，團(tuán)隊(duì)遵循DevSecOps的高標(biāo)準(zhǔn)嚴(yán)要求，將安全融入每個(gè)開發(fā)階段，構(gòu)建起縱深的安全研運(yùn)管理體系，提升產(chǎn)品的安全性和響應(yīng)能力。此外，通過全面的自動(dòng)化測(cè)試和細(xì)致的安全測(cè)試，如SAST（靜態(tài)應(yīng)用程序安全測(cè)試）、DAST（動(dòng)態(tài)應(yīng)用程序安全測(cè)試）和滲透測(cè)試，確保產(chǎn)品在發(fā)布前達(dá)到高質(zhì)量標(biāo)準(zhǔn)，力求為客戶提供穩(wěn)定、高效、可靠的終端安全防御能力。

注：圖片來源于網(wǎng)絡(luò)