去年7月19日CrowdStrike的EDR系統更新出錯,導致不少用戶反映Windows電腦出現當機的現象,當天凌晨微軟也發生服務停擺的狀況,據傳也與CrowdStrike有關。此次事故引發全球IT大當機的現象,影響醫療、航空服務、媒體、鐵路運輸、緊急救護的運作,後續該公司還獲頒Pwnie Awards史詩級失敗獎項。因此,資安業者提供的服務一旦出現異常,很容易引起用戶高度關注,質疑自己是否因此曝露在缺乏相關防護的資安風險。
根據新聞網站BankInfoSecurity的報導,世界協調時間(UTC)5月29日下午2時資安業者SentinelOne傳出多項服務出現中斷的情況,許多IT人員於社交網站Reddit反映此事,當時追蹤此事的資安專家Kevin Beaumont指出,除了該公司的網站之外,端點防護、XDR、雲端防護、身分識別、威脅情資、弱點管理等10項服務,皆出現異常。
大約事發6個小時後,SentinelOne證實服務中斷的情況,表示全球客戶都受到影響,他們正著手處理。而對於這起事故的影響範圍,該公司指出,端點防護用戶仍受到保護,但代管事件回應服務將無法監控相關動態,威脅資料的報告將會延遲,但並未遺失。
究竟這起事故發生的原因為何?SentinelOne表示是內部自動化作業出錯造成,而非資安事故。
後續該公司更新部落格文章進一步說明整起事故的發生經過,他們指出,大約在1時37分,基礎架構控制系統的軟體缺陷觸發了自動化功能,移除關鍵網路的路由釀禍,後續於1時55分開始接獲客戶的通報。
SentinelOne指出,造成事故的原因在於,他們著手將正式系統過渡到新的雲端架構,此系統改採基礎設施即程式碼(Infrastructure-as-Code,IaC)的策略打造。誤刪路由發生在其中一個即將汰除的控制系統,當此系統觸發建立新帳號的事件引發軟體缺陷,導致此系統的組態比對功能出錯,覆寫原本建立的網路設定,引入了完全空白的路由表,導致後端的雲端服務連線異常,用戶也無法存取管理主控臺。
該公司於世界標準時間29日晚間7時41分恢復用戶的主控臺運作,並表示將持續確認所有服務是否正常運作。30日上午10時,所有的服務完全恢復正常,該公司亦確認威脅偵測與回應服務能正常運作。
6月3日報導補充說明:
SentinelOne代理商逸盈科技與原廠確認之後,表示5月29日下午服務中斷情況發生在歐洲,不影響臺灣用戶,採用SentinelOne的中芯數據MDR服務也不受影響。
熱門新聞
2025-06-16
2025-06-16
2025-06-16
2025-06-13
2025-06-13
2025-06-16
2025-06-13