以下文章经 
The Conversation 许可转载,The Conversation 是一家报道最新研究进展的在线出版物。
全球各地的企业遭受重大 IT 中断,导致飞机停飞,并影响了银行和医疗保健行业。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您将有助于确保未来能够继续报道有关塑造我们当今世界的发现和想法的重要故事。
IT 安全公司 Crowdstrike 的首席执行官乔治·库尔茨表示,该公司已将问题追溯到为其 Microsoft Windows 操作系统计算机提供的安全软件的“单个内容更新中发现的缺陷”。
微软表示,问题是由“来自第三方软件平台的更新”引起的,并且“根本原因”现已修复。
The Conversation 与萨里大学网络安全专家艾伦·伍德沃德教授进行了交谈,了解了问题的症结所在以及如何解决该问题。
您能解释一下这里发生了什么吗?
我认为有两件事。首先,微软的 Azure 云计算平台似乎遇到了问题。虽然不太清楚,但该服务的性能在 7 月 18 日晚上开始出现一定程度的下降。但是,它并没有完全失效。
但目前看来,更大的问题是 7 月 18 日深夜为 [IT 安全公司] Crowdstrike 的 Falcon 产品(一种计算机威胁检查程序)进行的更新。Falcon 的工作原理是在每台 PC 的操作系统中深度嵌入一些“代理”软件,该软件监控计算机并在出现问题时“呼叫总部”。它还会接收有关需要注意的威胁的更新。世界各地的大型组织广泛使用它,这些组织有大量的 PC 需要管理。
我确信 Crowdstrike 正在紧急调查发生了什么。这款软件旨在保护人们免受勒索软件攻击等威胁。从我看到的最新信息来看,似乎更新系统文件以不正确的格式发布。
Windows 操作系统接收到此更新后,不知道如何处理,因此崩溃了。这就是为什么人们一直收到“蓝屏死机”[指示系统崩溃的计算机屏幕错误消息] 的原因。
而最大的问题是,您无法远程修复此问题。您必须单独进入每台机器,并将其置于“安全”或“恢复”模式以隔离软件。从那里,您应该能够重启机器并使其重新运行。但如果您是一家拥有大型分布式 IT 资产的大型全球公司,那将需要很长时间。
为什么这次中断会产生如此广泛的影响?
Crowdstrike 取得了巨大的成功——其安全软件被全球成千上万的主要客户使用。因此,航空公司、机场、铁路、医院、证券交易所……它们都崩溃了。
它始于澳大利亚,当时他们周五开始营业。更新显然是在英国时间昨晚发出的,并且刚刚在全球范围内蔓延开来。
对于蓄意的勒索软件攻击,他们通常一次攻击一个或两个目标。但在这种情况下,数千个组织同时受到了影响。我们以前从未遇到过这样的情况。
Crowdstrike 将如何修复该软件还有待确定。正如我所解释的,公司如何解决这个问题是很清楚的。但对于一些非常大的组织来说,这可能会在很长一段时间内影响他们的关键基础设施和业务——他们需要几天时间才能实际解决所有这些机器的问题。
安全公司能否确保这种情况不再发生?
安全软件与计算机的操作系统紧密相连——它深埋其中。必须有一种方法,如果发现某些东西已损坏,它不会只是不断地使系统崩溃——这可能需要与拥有 Windows 操作系统的微软合作完成。
必须有一种方法可以撤销它,而且确实有。但是,大多数尝试登录空白 PC 的人不知道如何将他们的 PC 置于安全模式并恢复到以前的状态。
目前,它看起来像是一个损坏的文件导致了全球性问题。计算机一直在下载更新,所以我不知道微软如何防止这种情况通过此更新发生。这不是很明显。而最关键的问题是:这个损坏的文件最初是如何发布的?
这个问题需要多久才能完全解决?
肯定需要几天,甚至几周的时间。就像伦敦那些遭受勒索软件攻击的医院一样。他们仍在遭受痛苦——这些事情的影响会持续很长时间。
在这种情况下,不仅影响持续很长时间,而且影响范围非常广泛,遍及全球的交通、医疗保健和所有其他领域的组织。我认为我们以前从未见过这样的情况。
在 X(前身为 Twitter)上,Crowdstrike 的联合创始人兼首席执行官乔治·库尔茨 评论道:“问题已查明、隔离,并已部署修复程序。我们建议客户访问支持门户以获取最新更新。”
本文最初发表于 The Conversation。阅读原始文章。