CrowdStrike是什么?揭秘全球技术中断背后的安全公司

CrowdStrike
CrowdStrike

网络安全公司CrowdStrike的首席执行官因软件更新引发全球IT中断而道歉。

周五(7月19日)凌晨,数千台Windows电脑开始崩溃。由此引发的混乱导致机场、银行和超市瘫痪,并给全球带来了大范围混乱。

专家们立即将矛头指向了美国公司CrowdStrike,该公司生产的流行网络攻击防护软件被全球数千家企业使用。

CrowdStrike首席执行官乔治·库尔茨(George Kurtz)现已表示,该科技公司对此次问题及其造成的全球混乱“深表歉意”。库尔茨在接受NBC采访时表示,包含“软件漏洞”的错误更新是罪魁祸首,证实了该公司其他人周五早些时候的说法。

库尔茨表示:“我们很快就发现了这个问题,并解决了它”,并补充说,他们的系统也在不断更新,以抵御“潜在的对手”。

以下是你需要了解的有关CrowdStrike的信息,该公司正处于“前所未有”的全球技术中断事件之中。

周五(7月19日)凌晨,大量Windows设备开始崩溃并向用户显示蓝屏死机(BSOD)错误。

CrowdStrike已为此次中断道歉,并在系统故障曝光后不久承认其旗舰产品Falcon存在问题。

尽管CrowdStrike的老板库尔茨表示该问题已得到解决,但他警告说,其他系统的恢复正常可能还需要“一段时间”。

库尔茨说:“我们的使命是……确保每位顾客都能完全康复。”

为什么要等待?对于一般用户来说,这个问题可能“仍然存在于系统中,需要一些时间来解决”,巴斯大学希伯伦和梅德洛克信息技术教授詹姆斯·达文波特(James Davenport)表示。

总部位于美国的CrowdStrike是全球最受欢迎的网络安全提供商之一,市值为834.8亿美元(646.2亿英镑)。

CrowdStrike表示,截至2023年底,其在全球拥有29,000名订阅者,其中包括580多名交易价值100万美元(774,000英镑)的赞助人。

CrowdStrike的主要产品是Falcon,这是一款基于云的软件,旨在阻止黑客入侵您的工作计算机。您可以将其想象成安装在您计算机内部的微型警卫,不断监视可疑活动并将这些信息传回云端的CrowdStrike指挥中心,使用人工智能进行分析。

如果检测到威胁,Falcon可以立即采取行动,隔离受感染的文件或设备、阻止访问可疑网站或网络,或终止任何恶意进程。

周五上午,CrowdStrike最初确认Windows设备上存在错误,并表示“频道文件故障”是导致其服务问题的原因。

此前,有大量报道称,该公司发布的拙劣更新导致全球WindowsPC陷入瘫痪,其连锁反应导致航班停飞、火车延误、超市关门、电视台停播。

受此变化影响的计算机一直出现蓝屏错误,这意味着它们试图重新启动但实际上无法重新启动,因此变得毫无用处。

在承认其软件存在问题后不久,CrowdStrike威胁搜寻总监Brody Nisbet在X(以前的Twitter)上表示:“频道文件存在错误,因此不是更新。”

数小时后,Crowdstrike首席执行官乔治·库尔茨(George Kurtz)为此次大规模技术灾难道歉,并将其归咎于微软Windows操作系统的错误更新。

当被问及这是否有可能是一次网络攻击时,库尔茨说没有。

“这不是网络攻击。它与此内容更新有关,”他告诉NBC。

此次中断最先在澳大利亚报道,该国国家网络安全协调员在X上发表声明称,已经意识到发生了影响多家公司和服务的大规模技术中断。

X/推特截图

声明中写道:“我们目前掌握的信息是,此次中断与受影响公司使用的第三方软件平台的技术问题有关。”

甚至在CrowdStrike首席执行官就此问题发表评论之前,专家们就普遍认为此次全球中断不是由网络攻击引起的。不过,他们表示,此次问题的规模是史无前例的,主要是因为Crowd Strike Falcon无处不在,而且它对Windows PC的控制力很强。

约克大学安全自主研究所的麦克德米德教授说:“此类软件无处不在——在许多甚至所有特定类型的机器上——因此安全软件中的一个故障就可能同时导致多台计算机瘫痪。”

墨尔本大学计算机与信息系统学院副教授托比·默里(TobyMurray)表示:“Falcon是一款非常高级的软件,它能够影响安装它的计算机的行为方式。”

澳大利亚珀斯默多克大学信息技术学院院长兼教授戴夫·帕里表示:“这已经成为一种全球现象,因为CrowdStrike是一家非常大的公司,很多公司和组织都使用它们来检测和防范威胁。”

帕里教授继续说道:“这个问题将影响到全世界大量的机器。这不是网络攻击,只是两款软件之间的相互作用。”

CrowdStrike的Nisbet发布了部分解决方法,只要您具备实施该解决方法的IT技能,就可以解决问题。

解决方案涉及删除受影响计算机上的特定文件,具体如下:

1.将Windows启动到安全模式或Windows恢复环境

2.导航到C:\Windows\System32\drivers\CrowdStrike目录

3.找到匹配“C-00000291*.sys”的文件并将其删除。

4.正常启动主机。

然而,达文波特教授警告称,受影响的用户不应该重新启动他们的机器,直到他们得到CrowdStrike和微软的全面许可,并补充说,“不要相信‘它已经消失了’的说法。”