专家揭秘：CrowdStrike全球中断事件疑因关键更新跳过必要检查

专题：微软蓝屏波及全球！“凶手”指向网安软件

　　网络安全巨头CrowdStrike（CRWD.US）的一次软件更新事故，导致全球范围内的客户计算机系统出现大规模崩溃。安全专家透露，这一事件凸显了在更新部署前缺乏充分的质量检查。

　　CrowdStrike的Falcon Sensor软件最新版本本应通过更新防御措施，加强客户系统的安全性，免受黑客攻击。然而，更新文件中的错误代码却导致了微软Windows操作系统用户的技术中断，影响范围之广，堪称近年来罕见。

　　全球的银行、航空公司、医院和政府机构都受到了此次事件的影响。CrowdStrike迅速发布了修复信息，以帮助客户恢复系统运行。但专家指出，由于需要手动清除有缺陷的代码，系统恢复将是一个耗时的过程。

　　Security Scorecard的首席安全官史蒂夫·科布指出，问题可能出在代码审查或沙盒测试环节，有缺陷的文件可能未被纳入审查范围。他透露，该公司的一些系统也受到了此次问题的影响。

　　更新发布后不久，社交媒体上便出现了用户分享的电脑蓝屏错误信息图片，这一现象在业内被称为“死机蓝屏”。安全研究员帕特里克·沃德尔通过分析确定了导致中断的具体代码。他解释称，问题出在一个包含配置信息或签名的文件中，这些签名用于检测特定类型的恶意代码。

　　沃德尔表示，安全产品更新签名是常见做法，通常每天进行一次，以确保客户免受最新威胁。但这种高频率的更新可能是CrowdStrike未能进行充分测试的原因之一。

　　目前尚不清楚错误代码是如何被引入更新的，以及为何在发布前未被发现。Huntress Labs的首席安全研究员约翰·哈蒙德建议，理想情况下，此类技术应先在有限范围内推广，这是一种更安全的测试方法，可以避免引发大规模的技术中断。

　　此次事件并非个案，2010年McAfee的防病毒更新也曾因漏洞导致数十万台计算机瘫痪。然而，CrowdStrike的此次中断事件凸显了其在网络安全领域的主导地位。超过一半的财富500强企业和许多政府机构，包括美国顶级网络安全机构网络安全和基础设施安全局，都在使用CrowdStrike的软件。