臺灣時間7月19日下午,我們注意到全球網路論壇Reddit傳出巨大騷動,網友反映他們有多臺Windows 10電腦同時出現藍色當機畫面,問題出在端點偵測與應變系統(EDR)廠商CrowdStrike的代理程式Falcon sensor組態更新出錯、觸發邏輯錯誤,導致許多Windows電腦停擺而出現藍色當機畫面(BSOD)。
後續更多災情不斷出現在各大社群平臺貼文,以及全球大眾新聞媒體的報導,像是機場、醫院、銀行、零售商店與超市,我們看到大量電子看板(Digital Signage)與一些互動式資訊服務站(Kiosk)無法運作。例如,許多機場旅客難以快速查閱機場航班資訊,以及進行自助登機程序;有些醫院的電子醫療記錄、勞動力管理、門診預約系統,以及個別工作站與特定用途醫療器材與設備受到影響;部分銀行的自動提款機(ATM)、金融卡支付服務無法運作;有些商店與超市也出現電腦設備故障,導致顧客無法結帳。
圖片來源/u/CyborgWarrior on reddit
這個震驚全球的IT重大事故發生之後,很多人都想知道為何情況會這麼嚴重?微軟Windows電腦的普及眾所皆知,端點防護解決方案的發展也相當成熟,一些防毒軟體產品過去也曾引發Windows電腦大當機的事故,但已很久沒遇到這類問題,沒想到2024年竟然再度上演。而且,隨著人類社會對於數位科技的依賴持續攀升,電腦與IT服務大規模停擺所造成的衝擊,如今顯然變得更為嚴重,而且廣泛影響更多國家與產業。
其中,最令我們意外的部分在於:為何是EDR的元件更新導致Windows電腦當機?
根據我們的了解,大部分EDR部署在個人電腦或伺服器時,主要功能是偵測(Detect)端點的存取行為是否有異常或惡意,一旦發現問題,會通知或通報管理者處理善後,可能會進行手動或自動的應變處理,或是協調其他端點、網路資安產品進行緩解。然而,部分EDR產品開始擴充更多端點防護功能,而跨入原本以防毒軟體為主的端點防護平臺(EPP)領域,而能同時提供威脅預防的機制,這些從EDR起家、躋身EPP的產品,甚至標榜本身是次世代防毒軟體(NGAV),因此,它們扮演的角色與提供的功能,也變得越來越複雜而多元,對於端點作業系統的狀態監控也越來越深入,但如同超級英雄電影所言:「能力越大,責任越大」,此類型EDR產品對於電腦與伺服器能否正常運作,勢必要承擔更大責任,一不小心,可能會比多數EDR產品更容易傷及無辜。
關於這樣的狀況,從防毒軟體起家、後續踏入EDR產品的廠商,應該較有警覺,因為有慘痛的前例可循,大家不想重蹈覆轍。相對而言,若是從EDR起家、同時主打可提供次世代防毒軟體的資安廠商,或許較無相關的經驗與意識,去預防這類可能嚴重影響電腦與伺服器運作的問題發生。
但尷尬的是,CrowdStrike如果提出這個說法,可能無法使大家諒解他們的缺失。因為在7月19日全球Windows電腦大當機事件發生後,有不少人提到一件往事:2010年老牌資安公司McAfee的防毒軟體也曾因為軟體更新出錯,而導致全球數萬臺Windows XP電腦當機,當時在該公司擔任技術長的George Kurtz,竟然也是CrowdStrike的共同創辦人暨執行長,許多媒體也注意到這段過往經歷,IT市場分析機構Moor Insights & Strategy副總裁暨首席分析師Anshel Sag在社群媒體X也提到這件事,並表示McAfee當初就是因為這起事故花了很多錢,導致後續賣給英特爾。
0719全球大當機後,作為IT產品用戶的企業與組織,能學到什麼教訓?多數人或許只能無奈表示:「雞蛋不要放在同一個籃子」,重新思考備援系統與服務的資安配置,有人打算更換資安防護系統品牌,有人考慮備援系統與服務改用不同資安廠商的產品,也有人提到他們的電腦與伺服器不想繼續使用Windows平臺,然而,更換或同時使用其他資安廠商的產品,改用其他作業系統,仍有機會因為廠商出包或產品問題而導致IT服務停擺的危機,只能盡量降低風險。
而對於資安或其他類型的IT廠商而言,追求技術的突破與功能的卓越,當然是必要的,但不能捨本逐末,如同一段國產製藥廠商長年宣傳的廣告臺詞:「先研究不傷身體,再講究效果」,如果控管機制嚴重影響IT系統正常運作,就失去提供保護的意義。 請點選此處前往「0719全球大當機」系列報導
專欄作者
熱門新聞
2024-12-10
2024-12-10
2024-11-29
2024-12-11
2024-12-10
2024-12-08