以下文章經 
The Conversation 許可轉載,The Conversation 是一家報道最新研究進展的線上出版物。
全球各地的企業遭受重大 IT 中斷,導致飛機停飛,並影響了銀行和醫療保健行業。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您將有助於確保未來能夠繼續報道有關塑造我們當今世界的發現和想法的重要故事。
IT 安全公司 Crowdstrike 的執行長喬治·庫爾茨表示,該公司已將問題追溯到為其 Microsoft Windows 作業系統計算機提供的安全軟體的“單個內容更新中發現的缺陷”。
微軟表示,問題是由“來自第三方軟體平臺的更新”引起的,並且“根本原因”現已修復。
The Conversation 與薩里大學網路安全專家艾倫·伍德沃德教授進行了交談,瞭解了問題的癥結所在以及如何解決該問題。
您能解釋一下這裡發生了什麼嗎?
我認為有兩件事。首先,微軟的 Azure 雲計算平臺似乎遇到了問題。雖然不太清楚,但該服務的效能在 7 月 18 日晚上開始出現一定程度的下降。但是,它並沒有完全失效。
但目前看來,更大的問題是 7 月 18 日深夜為 [IT 安全公司] Crowdstrike 的 Falcon 產品(一種計算機威脅檢查程式)進行的更新。Falcon 的工作原理是在每臺 PC 的作業系統中深度嵌入一些“代理”軟體,該軟體監控計算機並在出現問題時“呼叫總部”。它還會接收有關需要注意的威脅的更新。世界各地的大型組織廣泛使用它,這些組織有大量的 PC 需要管理。
我確信 Crowdstrike 正在緊急調查發生了什麼。這款軟體旨在保護人們免受勒索軟體攻擊等威脅。從我看到的最新資訊來看,似乎更新系統檔案以不正確的格式釋出。
Windows 作業系統接收到此更新後,不知道如何處理,因此崩潰了。這就是為什麼人們一直收到“藍色畫面宕機”[指示系統崩潰的計算機螢幕錯誤訊息] 的原因。
而最大的問題是,您無法遠端修復此問題。您必須單獨進入每臺機器,並將其置於“安全”或“恢復”模式以隔離軟體。從那裡,您應該能夠重啟機器並使其重新執行。但如果您是一家擁有大型分散式 IT 資產的大型全球公司,那將需要很長時間。
為什麼這次中斷會產生如此廣泛的影響?
Crowdstrike 取得了巨大的成功——其安全軟體被全球成千上萬的主要客戶使用。因此,航空公司、機場、鐵路、醫院、證券交易所……它們都崩潰了。
它始於澳大利亞,當時他們週五開始營業。更新顯然是在英國時間昨晚發出的,並且剛剛在全球範圍內蔓延開來。
對於蓄意的勒索軟體攻擊,他們通常一次攻擊一個或兩個目標。但在這種情況下,數千個組織同時受到了影響。我們以前從未遇到過這樣的情況。
Crowdstrike 將如何修復該軟體還有待確定。正如我所解釋的,公司如何解決這個問題是很清楚的。但對於一些非常大的組織來說,這可能會在很長一段時間內影響他們的關鍵基礎設施和業務——他們需要幾天時間才能實際解決所有這些機器的問題。
安全公司能否確保這種情況不再發生?
安全軟體與計算機的作業系統緊密相連——它深埋其中。必須有一種方法,如果發現某些東西已損壞,它不會只是不斷地使系統崩潰——這可能需要與擁有 Windows 作業系統的微軟合作完成。
必須有一種方法可以撤銷它,而且確實有。但是,大多數嘗試登入空白 PC 的人不知道如何將他們的 PC 置於安全模式並恢復到以前的狀態。
目前,它看起來像是一個損壞的檔案導致了全球性問題。計算機一直在下載更新,所以我不知道微軟如何防止這種情況透過此更新發生。這不是很明顯。而最關鍵的問題是:這個損壞的檔案最初是如何釋出的?
這個問題需要多久才能完全解決?
肯定需要幾天,甚至幾周的時間。就像倫敦那些遭受勒索軟體攻擊的醫院一樣。他們仍在遭受痛苦——這些事情的影響會持續很長時間。
在這種情況下,不僅影響持續很長時間,而且影響範圍非常廣泛,遍及全球的交通、醫療保健和所有其他領域的組織。我認為我們以前從未見過這樣的情況。
在 X(前身為 Twitter)上,Crowdstrike 的聯合創始人兼執行長喬治·庫爾茨 評論道:“問題已查明、隔離,並已部署修復程式。我們建議客戶訪問支援門戶以獲取最新更新。”
本文最初發表於 The Conversation。閱讀原始文章。