CrowdStrike是什么？揭秘全球技术中断背后的安全公司

网络安全公司CrowdStrike的首席执行官因软件更新引发全球IT中断而道歉。

周五（7月19日）凌晨，数千台Windows电脑开始崩溃。由此引发的混乱导致机场、银行和超市瘫痪，并给全球带来了大范围混乱。

专家们立即将矛头指向了美国公司CrowdStrike，该公司生产的流行网络攻击防护软件被全球数千家企业使用。

CrowdStrike首席执行官乔治·库尔茨(George Kurtz)现已表示，该科技公司对此次问题及其造成的全球混乱“深表歉意”。库尔茨在接受NBC采访时表示，包含“软件漏洞”的错误更新是罪魁祸首，证实了该公司其他人周五早些时候的说法。

库尔茨表示：“我们很快就发现了这个问题，并解决了它”，并补充说，他们的系统也在不断更新，以抵御“潜在的对手”。

以下是你需要了解的有关CrowdStrike的信息，该公司正处于“前所未有”的全球技术中断事件之中。

周五（7月19日）凌晨，大量Windows设备开始崩溃并向用户显示蓝屏死机(BSOD)错误。

CrowdStrike已为此次中断道歉，并在系统故障曝光后不久承认其旗舰产品Falcon存在问题。

尽管CrowdStrike的老板库尔茨表示该问题已得到解决，但他警告说，其他系统的恢复正常可能还需要“一段时间”。

库尔茨说：“我们的使命是……确保每位顾客都能完全康复。”

为什么要等待？对于一般用户来说，这个问题可能“仍然存在于系统中，需要一些时间来解决”，巴斯大学希伯伦和梅德洛克信息技术教授詹姆斯·达文波特(James Davenport)表示。

总部位于美国的CrowdStrike是全球最受欢迎的网络安全提供商之一，市值为834.8亿美元（646.2亿英镑）。

CrowdStrike表示，截至2023年底，其在全球拥有29,000名订阅者，其中包括580多名交易价值100万美元（774,000英镑）的赞助人。

CrowdStrike的主要产品是Falcon，这是一款基于云的软件，旨在阻止黑客入侵您的工作计算机。您可以将其想象成安装在您计算机内部的微型警卫，不断监视可疑活动并将这些信息传回云端的CrowdStrike指挥中心，使用人工智能进行分析。

如果检测到威胁，Falcon可以立即采取行动，隔离受感染的文件或设备、阻止访问可疑网站或网络，或终止任何恶意进程。

周五上午，CrowdStrike最初确认Windows设备上存在错误，并表示“频道文件故障”是导致其服务问题的原因。

此前，有大量报道称，该公司发布的拙劣更新导致全球WindowsPC陷入瘫痪，其连锁反应导致航班停飞、火车延误、超市关门、电视台停播。

受此变化影响的计算机一直出现蓝屏错误，这意味着它们试图重新启动但实际上无法重新启动，因此变得毫无用处。

在承认其软件存在问题后不久，CrowdStrike威胁搜寻总监Brody Nisbet在X（以前的Twitter）上表示：“频道文件存在错误，因此不是更新。”

数小时后，Crowdstrike首席执行官乔治·库尔茨(George Kurtz)为此次大规模技术灾难道歉，并将其归咎于微软Windows操作系统的错误更新。

当被问及这是否有可能是一次网络攻击时，库尔茨说没有。

“这不是网络攻击。它与此内容更新有关，”他告诉NBC。

此次中断最先在澳大利亚报道，该国国家网络安全协调员在X上发表声明称，已经意识到发生了影响多家公司和服务的大规模技术中断。

声明中写道：“我们目前掌握的信息是，此次中断与受影响公司使用的第三方软件平台的技术问题有关。”

甚至在CrowdStrike首席执行官就此问题发表评论之前，专家们就普遍认为此次全球中断不是由网络攻击引起的。不过，他们表示，此次问题的规模是史无前例的，主要是因为Crowd Strike Falcon无处不在，而且它对Windows PC的控制力很强。

约克大学安全自主研究所的麦克德米德教授说：“此类软件无处不在——在许多甚至所有特定类型的机器上——因此安全软件中的一个故障就可能同时导致多台计算机瘫痪。”

墨尔本大学计算机与信息系统学院副教授托比·默里(TobyMurray)表示：“Falcon是一款非常高级的软件，它能够影响安装它的计算机的行为方式。”

澳大利亚珀斯默多克大学信息技术学院院长兼教授戴夫·帕里表示：“这已经成为一种全球现象，因为CrowdStrike是一家非常大的公司，很多公司和组织都使用它们来检测和防范威胁。”

帕里教授继续说道：“这个问题将影响到全世界大量的机器。这不是网络攻击，只是两款软件之间的相互作用。”

CrowdStrike的Nisbet发布了部分解决方法，只要您具备实施该解决方法的IT技能，就可以解决问题。

解决方案涉及删除受影响计算机上的特定文件，具体如下：

1.将Windows启动到安全模式或Windows恢复环境

2.导航到C:\Windows\System32\drivers\CrowdStrike目录

3.找到匹配“C-00000291*.sys”的文件并将其删除。

4.正常启动主机。

然而，达文波特教授警告称，受影响的用户不应该重新启动他们的机器，直到他们得到CrowdStrike和微软的全面许可，并补充说，“不要相信‘它已经消失了’的说法。”