台湾时间7月19日下午,我们注意到全球网路论坛Reddit传出巨大骚动,网友反映他们有多台Windows 10电脑同时出现蓝色当机画面,问题出在端点侦测与应变系统(EDR)厂商CrowdStrike的代理程式Falcon sensor组态更新出错、触发逻辑错误,导致许多Windows电脑停摆而出现蓝色当机画面(BSOD)。
后续更多灾情不断出现在各大社群平台贴文,以及全球大众新闻媒体的报导,像是机场、医院、银行、零售商店与超市,我们看到大量电子看板(Digital Signage)与一些互动式资讯服务站(Kiosk)无法运作。例如,许多机场旅客难以快速查阅机场航班资讯,以及进行自助登机程序;有些医院的电子医疗记录、劳动力管理、门诊预约系统,以及个别工作站与特定用途医疗器材与设备受到影响;部分银行的自动提款机(ATM)、金融卡支付服务无法运作;有些商店与超市也出现电脑设备故障,导致顾客无法结帐。
图片来源/u/CyborgWarrior on reddit
这个震惊全球的IT重大事故发生之后,很多人都想知道为何情况会这么严重?微软Windows电脑的普及众所皆知,端点防护解决方案的发展也相当成熟,一些防毒软体产品过去也曾引发Windows电脑大当机的事故,但已很久没遇到这类问题,没想到2024年竟然再度上演。而且,随著人类社会对于数位科技的依赖持续攀升,电脑与IT服务大规模停摆所造成的冲击,如今显然变得更为严重,而且广泛影响更多国家与产业。
其中,最令我们意外的部分在于:为何是EDR的元件更新导致Windows电脑当机?
根据我们的了解,大部分EDR部署在个人电脑或伺服器时,主要功能是侦测(Detect)端点的存取行为是否有异常或恶意,一旦发现问题,会通知或通报管理者处理善后,可能会进行手动或自动的应变处理,或是协调其他端点、网路资安产品进行缓解。然而,部分EDR产品开始扩充更多端点防护功能,而跨入原本以防毒软体为主的端点防护平台(EPP)领域,而能同时提供威胁预防的机制,这些从EDR起家、跻身EPP的产品,甚至标榜本身是次世代防毒软体(NGAV),因此,它们扮演的角色与提供的功能,也变得越来越复杂而多元,对于端点作业系统的状态监控也越来越深入,但如同超级英雄电影所言:「能力越大,责任越大」,此类型EDR产品对于电脑与伺服器能否正常运作,势必要承担更大责任,一不小心,可能会比多数EDR产品更容易伤及无辜。
关于这样的状况,从防毒软体起家、后续踏入EDR产品的厂商,应该较有警觉,因为有惨痛的前例可循,大家不想重蹈覆辙。相对而言,若是从EDR起家、同时主打可提供次世代防毒软体的资安厂商,或许较无相关的经验与意识,去预防这类可能严重影响电脑与伺服器运作的问题发生。
但尴尬的是,CrowdStrike如果提出这个说法,可能无法使大家谅解他们的缺失。因为在7月19日全球Windows电脑大当机事件发生后,有不少人提到一件往事:2010年老牌资安公司McAfee的防毒软体也曾因为软体更新出错,而导致全球数万台Windows XP电脑当机,当时在该公司担任技术长的George Kurtz,竟然也是CrowdStrike的共同创办人暨执行长,许多媒体也注意到这段过往经历,IT市场分析机构Moor Insights & Strategy副总裁暨首席分析师Anshel Sag在社群媒体X也提到这件事,并表示McAfee当初就是因为这起事故花了很多钱,导致后续卖给英特尔。
0719全球大当机后,作为IT产品用户的企业与组织,能学到什么教训?多数人或许只能无奈表示:「鸡蛋不要放在同一个篮子」,重新思考备援系统与服务的资安配置,有人打算更换资安防护系统品牌,有人考虑备援系统与服务改用不同资安厂商的产品,也有人提到他们的电脑与伺服器不想继续使用Windows平台,然而,更换或同时使用其他资安厂商的产品,改用其他作业系统,仍有机会因为厂商出包或产品问题而导致IT服务停摆的危机,只能尽量降低风险。
而对于资安或其他类型的IT厂商而言,追求技术的突破与功能的卓越,当然是必要的,但不能舍本逐末,如同一段国产制药厂商长年宣传的广告台词:「先研究不伤身体,再讲究效果」,如果控管机制严重影响IT系统正常运作,就失去提供保护的意义。 请点选此处前往「0719全球大当机」系列报导