導(dǎo)讀

2024年7月19日，全球多地的Windows用戶出現(xiàn)了大量電腦崩潰、藍(lán)屏死機(jī)、無法重新啟動的事件。故障發(fā)生后，全球多個國家和地區(qū)的航班、醫(yī)療、銀行、交通等重要行業(yè)均受到不同程度的影響。

事件經(jīng)過

2024年7月19日凌晨4點09分，CrowdStrike公司向其Windows用戶發(fā)布了一項終端安全傳感器的配置更新。不幸的是，這次更新中包含了一個錯誤配置，導(dǎo)致更新被安裝后，受影響的Windows設(shè)備開始出現(xiàn)系統(tǒng)崩潰并顯示藍(lán)屏錯誤。此外，許多云服務(wù)客戶的Windows虛擬機(jī)也安裝了CrowdStrike安全產(chǎn)品，這些虛擬機(jī)在接收到錯誤的配置更新后同樣遭受了藍(lán)屏故障，影響相比PC藍(lán)屏更加嚴(yán)重。

解決方案

方案1：建議受影響的用戶將電腦啟動到安全模式或恢復(fù)環(huán)境，導(dǎo)航至C:\Windows\System32\drivers\CrowdStrike目錄，找到與“C-00000291*.sys”匹配的文件并將其刪除，即可正常啟動電腦。

方案2：在安全模式下訪問C:\Windows\System32\drivers\CrowdStrike路徑，找到csagent.sys文件，通過在其文件名后增加數(shù)字和字母的方式進(jìn)行重命名，以暫時禁用該驅(qū)動程序。此方法目的是繞過有問題的驅(qū)動程序，從而避免藍(lán)屏問題。?

方案3：通過官方補(bǔ)丁進(jìn)行更新與修復(fù)。

我們要如何避免此類突發(fā)事件？

本次微軟服務(wù)的大規(guī)模中斷事件再次強(qiáng)調(diào)了：在復(fù)雜系統(tǒng)環(huán)境中，Agent穩(wěn)定運行的重要性。Agent要穩(wěn)定運行，不僅需要其內(nèi)部結(jié)構(gòu)設(shè)計得當(dāng)，更要求其具備強(qiáng)大的驅(qū)動程序，同時測試過程也要非常嚴(yán)格和全面，確保能夠發(fā)現(xiàn)所有的潛在風(fēng)險，建立一個更加堅實和可靠的終端Agent軟件系統(tǒng)。

天融信終端安全負(fù)責(zé)人表示：安全產(chǎn)品需要自主可控和更完善的本地化服務(wù)。這一事件強(qiáng)調(diào)了對終端安全產(chǎn)品持續(xù)審查和測試的必要性，并突顯了國產(chǎn)安全產(chǎn)品的優(yōu)勢，尤其是在本地化服務(wù)方面。國產(chǎn)安全產(chǎn)品能夠提供更快速、更貼近市場的客戶支持，快速響應(yīng)并解決客戶面臨的問題，這在全球化的技術(shù)依賴中提供了一個可靠的本土化替代選擇。

天融信安全建議

構(gòu)建數(shù)據(jù)備份機(jī)制：加強(qiáng)數(shù)據(jù)備份機(jī)制，并進(jìn)行定期的恢復(fù)測試以驗證備份的有效性，應(yīng)對數(shù)據(jù)丟失、系統(tǒng)故障或其他安全威脅。

加強(qiáng)企業(yè)應(yīng)急預(yù)案：建立全面的應(yīng)急預(yù)案體系，確保在危機(jī)發(fā)生時能夠迅速、有序地采取措施，最小化事件對企業(yè)運營和聲譽(yù)的影響。

多元化供應(yīng)商協(xié)作：通過與多個供應(yīng)商建立合作關(guān)系，降低對單一供應(yīng)商的依賴，從而提高供應(yīng)鏈的彈性和穩(wěn)定性，避免因供應(yīng)商的不可預(yù)見問題導(dǎo)致生產(chǎn)中斷或成本增加。

應(yīng)用更新后置：延遲高風(fēng)險應(yīng)用更新時間，從而降低更新可能帶來的風(fēng)險，確保系統(tǒng)的穩(wěn)定性和可靠性。

灰度升級：在進(jìn)行產(chǎn)品大規(guī)模升級前，將新的軟件版本部署給一小部分用戶或系統(tǒng)，然后逐步擴(kuò)大到更廣泛的用戶群體，減少新版本可能帶來的風(fēng)險，確保軟件更新的平穩(wěn)過渡和系統(tǒng)的穩(wěn)定性。

加速國產(chǎn)化替代：減少對外部供應(yīng)商的依賴，增強(qiáng)自主可控能力，同時快速響應(yīng)本地市場的需求和法規(guī)變化，構(gòu)建更為穩(wěn)固的網(wǎng)絡(luò)安全防線。

終端安全，一直是企業(yè)整體網(wǎng)絡(luò)安全防護(hù)體系中的重要環(huán)節(jié)。多年來，天融信始終堅持技術(shù)攻關(guān)與創(chuàng)新，以輕量化理念進(jìn)行終端安全產(chǎn)品設(shè)計，實現(xiàn)高效穩(wěn)定的安全防護(hù)，通過輕驅(qū)或無驅(qū)模式簡化部署，減少資源消耗，并避免與現(xiàn)有驅(qū)動的沖突，同時保持監(jiān)控的靈活性和可靠性。

在開發(fā)過程中，團(tuán)隊遵循DevSecOps的高標(biāo)準(zhǔn)嚴(yán)要求，將安全融入每個開發(fā)階段，構(gòu)建起縱深的安全研運管理體系，提升產(chǎn)品的安全性和響應(yīng)能力。此外，通過全面的自動化測試和細(xì)致的安全測試，如SAST（靜態(tài)應(yīng)用程序安全測試）、DAST（動態(tài)應(yīng)用程序安全測試）和滲透測試，確保產(chǎn)品在發(fā)布前達(dá)到高質(zhì)量標(biāo)準(zhǔn)，力求為客戶提供穩(wěn)定、高效、可靠的終端安全防御能力。

注：圖片來源于網(wǎng)絡(luò)