因CrowdStrike导致全球数百万台电脑蓝屏宕机后,这家全球Top级网络安全公司所面临的惨痛代价正陆续体现。
7月19日,由CrowdStrike Falcon版本更新缺陷引发的系统崩溃波及全球超850万台Windows电脑,致使航班停飞、火车晚点、银行异常,并且波及到了当时还未开幕的巴黎奥运会服务系统。
截至目前,该事件给全球各行业带来的阵痛仍未彻底消除,除了一些企业还未完全恢复,CrowdStrike持续下跌的股价与纷至沓来的各种诉讼表明,这已经是一起足以载入史册的重大网络安全事件。
股价暴跌与集体诉讼
事发当日,CrowdStrike美股盘初股价一度大跌14%,收跌11.1%,报每股304.96美元,市值一夜蒸发近百亿美元,创2022年以来最差单日表现。在随后的9个交易日内,CrowdStrike股价大跌32%,截至当地时间8月5日收盘,这家曾一度接近千亿美元的网安巨头股价已累计下跌超40%,市值已累计蒸发超250亿美元。
当地时间8月5日,CrowdStrike股价已跌至每股222.05美元
华尔街也纷纷下调CrowdStrike的股价,杰富瑞将CrowdStrike目标价从400美元下调至300美元。投行Needham将CrowdStrike目标价从425美元下调至375美元。
伴随着股价暴跌,该公司也面临来自投资者及受害企业的诉讼。投资者认为,CrowdStrike对公司产品的可靠性存在重大虚假和误导性陈述,隐瞒了关键信息,对他们构成了欺骗。目前,投资者已在德克萨斯州奥斯汀联邦法院提起了集体诉讼。
达美航空公司要求CrowdStrike赔偿因服务瘫痪造成的损失,称故障在5天时间内影响了数千个航班,数十万旅客被迫滞留,带来的损失达5亿美元,并表示CrowdStrike只提供了“免费的咨询建议来帮助我们“。
蓝屏宕机事故波及全球下游企业
由于CrowdStrike被全球众多企业采用,此次事故受灾范围之广、受害程度之深为近年罕见。
对交通运输业而言,由于航空系统高度复杂,不少航司在此事件中受创严重,甚至需要几周时间才能完全恢复。据报道,事发后,达美航空、联合航空和美国航空在内的几家主要美国航空公司的所有航班在当天早上被迫停飞,仅达美航空一家航司在几天内就总计取消了将近6300个航班。在铁路方面,英国最大的铁路运营商GTR称面临技术问题;西日本旅客铁道公司列车行驶位置信息因Windows系统故障导致无法获取。
宕机事故也给制造业带来停工危机,一些制造业巨头报告称,其生产线因为关键系统的瘫痪而被迫停工。根据媒体报道,特斯拉工厂多条产线因故障导致设备开始报错,位于奥斯汀、德克萨斯和内华达的超级工厂不得已让部分工人提前下班,特斯拉CEO马斯克扬言要在所有系统中全部删掉CrowdStrike软件,并配上了一张“火烧CrowdStrike机房”的AI生成图片。
马斯克炮轰CrowdStrike并附上一张“火烧CrowdStrike机房”的AI生成图片
在其他领域,小至地方超市收银系统,大至伦敦交易所也受到影响导致服务异常或暂停,就连巴黎奥运会系统也被波及,奥组委表示CrowdStrike问题影响了奥运会证件的激活流程,因此激活服务将暂停。
曾经的全球网安一哥,风光无限
公开资料显示,CrowdStrike是全球知名的下一代终端安全厂商。公司成立于2011年,CrowdStrike 成功将最先进的端点保护与云端专家情报相结合,不仅可以扫描追溯恶意软件,还可以确定攻击者本身。CrowdStrike 和全球数十家著名企业组成技术合作伙伴,为网络安全行业提供实时的更新和防护。
CrowdStrike 2012年—2013年推出拳头产品威胁情报服务Falcon X及终端检测与响应(EDR)产品 Falcon Inshight,并在2017年迅速丰富终端安全产品线,先后发布下一代防病毒、IT资产管理系统、恶意软件搜索、漏洞管理、沙箱及端点设备控件等 多个产品模块,且于2019年推出PaaS安全平台CrowdStrike Store,构建了终端安全产品+威胁情报服务+专家服务,SaaS+PaaS的完整安全生态。
由于抓住了AI+网络安全的重要发展机遇,CrowdStrike的市值在2024年6月达到了950亿美元,逼近千亿美元大关,成为继Palo Alto Networks之后第二家市值突破千亿美元的纯网络安全厂商,这一成就标志着CrowdStrike在全球网络安全领域的领导地位。
CrowdStrike的市值增长和其在网络安全领域的技术领先地位,使其成为全球网络安全公司市值首位“宝座”的常客。公司的产品和服务被包括微软、亚马逊AWS在内的一些最大的云服务公司提供商所使用,也包括主要的全球银行、医疗保健和能源公司。
旗下拳头产品Falcon为176多个国家的客户提供端点安全、威胁情报和事件响应服务,每天搜集和分析全球超过300亿终端事件。通过云原生架构和集成的XDR解决方案,Falcon在终端安全领域展示了技术领先性。该平台通过众包数据策略和AI驱动的分析引擎,实现了对客户数据的深度学习和应用,这不仅提升了安全防护的精准度,也极大地增强了客户黏性。具体来说,Falcon平台采用的是云端与用户端点相结合的体系架构,主要由Falcon Sensor、Falcon Management Console、Threat Graph、Falcon APPS、Falcon APIs等模块组成。Falcon Sensor部署在用户端点,其他模块位于Falcon Cloud端。
(1)Falcon Sensor模块:CrowdStrike公司在Falcon平台中设计了一个代理(Agent),它是一个轻量化的传感器,部署在用户环境中。这个传感器不仅能够阻止已知特征的恶意攻击,还可以阻挡未知恶意攻击,同时记录所有相关端点的活动信息,以保证可以清楚的了解环境中的每一个环境。
(2)Threat Graph模块:具有强大的图形分析能力,并关联Crowd Strike全球客户数十亿的安全事件。它存储于分析海量(达到PB级)的历史资料,使用先进的算法与智能处理来检测“一切未知的事件”。
(3)Falcon APIs模块。CrowdStrike针对其平台架构提供非常丰富的API接口让其他企业能够基于既有的安全架构来整合其他网络安全防护系统(例如:SIEMs, IPS/IDS...等)。
(4)Falcon Management Console模块:Falcon Management Console接口通过管理界面提供对所有事件的完整信息以及图表,及时的警报和详细的搜索功能。
(5)Falcon APPS模块:FalconAPPS模块具备网络安全防御、端点防护与响应、主动防御威胁事件等能力。
彼时的CrowdStrike真可谓是风光无限,却不知危险已经隐藏在繁荣的阴影之中。
缺乏敬畏心,CrowdStrike跌下神坛
也许谁都没有料到,CrowdStrike自创立以来面临的最大危机竟来的如此突然。一家曾经全球市值第一的网安一哥,最终因为一次安全事件而跌下神坛,这不得不说令人感到惋惜。
根据事后发布的最新调查结果,是由于一个关键的漏洞存在于CrowdStrike用于验证系统更新准确性的质量控制工具中,导致在更新推送时被错误地推送至了用户终端。
美国高科技技术研究和咨询公司未来集团(The Future Group)指出,这并非一次纯粹的网络安全事件,而是一个补丁更新管理不善导致大范围破坏的问题。
换言之,CrowdStrike此次中断事件中最严重的问题不是技术问题,而是内部流程存在大问题,即在软件弹性和测试、快速响应内容部署以及第三方验证方面的缺失,而更层次地原因是,越来越多的荣誉和越来越高的市值,让CrowdStrike公司内部对安全的敬畏心正在消失。
有时候安全就是这样令人难以捉摸,在事故发生之前,这不过是CrowdStrike公司一次再正常不过的软件更新,和之前的每一天都一样。但就是这样平常的一天,给网安一哥当头一棒,从此走下神坛。
可见,安全大厂的光环随时可能破灭,尤其是关乎每一台电脑的基础安全软件,任何纰漏都可能酿成难以预估的灾难性连锁反应。对于安全厂商而言,CrowdStrike 引发的大规模宕机事件说明,在保证产品服务质量的同时,科学的部署流程正变得越发重要,确保在进行更大规模或全面部署前不会产生服务、兼容性、安全性或其他问题。
安全没有止境,作为网安厂商更是需时刻保持警觉和敬畏,当我们逐渐习以为常、放松警惕之际,也许正是巨雷缓缓形成之时。