因CrowdStrike導(dǎo)致全球數(shù)百萬臺(tái)電腦藍(lán)屏宕機(jī)后，這家全球Top級(jí)網(wǎng)絡(luò)安全公司所面臨的慘痛代價(jià)正陸續(xù)體現(xiàn)。

7月19日，由CrowdStrike Falcon版本更新缺陷引發(fā)的系統(tǒng)崩潰波及全球超850萬臺(tái)Windows電腦，致使航班停飛、火車晚點(diǎn)、銀行異常，并且波及到了當(dāng)時(shí)還未開幕的巴黎奧運(yùn)會(huì)服務(wù)系統(tǒng)。

截至目前，該事件給全球各行業(yè)帶來的陣痛仍未徹底消除，除了一些企業(yè)還未完全恢復(fù)，CrowdStrike持續(xù)下跌的股價(jià)與紛至沓來的各種訴訟表明，這已經(jīng)是一起足以載入史冊(cè)的重大網(wǎng)絡(luò)安全事件。

股價(jià)暴跌與集體訴訟

事發(fā)當(dāng)日，CrowdStrike美股盤初股價(jià)一度大跌14%，收跌11.1%，報(bào)每股304.96美元，市值一夜蒸發(fā)近百億美元，創(chuàng)2022年以來最差單日表現(xiàn)。在隨后的9個(gè)交易日內(nèi)，CrowdStrike股價(jià)大跌32%，截至當(dāng)?shù)貢r(shí)間8月5日收盤，這家曾一度接近千億美元的網(wǎng)安巨頭股價(jià)已累計(jì)下跌超40%，市值已累計(jì)蒸發(fā)超250億美元。

當(dāng)?shù)貢r(shí)間8月5日，CrowdStrike股價(jià)已跌至每股222.05美元

華爾街也紛紛下調(diào)CrowdStrike的股價(jià)，杰富瑞將CrowdStrike目標(biāo)價(jià)從400美元下調(diào)至300美元。投行Needham將CrowdStrike目標(biāo)價(jià)從425美元下調(diào)至375美元。

伴隨著股價(jià)暴跌，該公司也面臨來自投資者及受害企業(yè)的訴訟。投資者認(rèn)為，CrowdStrike對(duì)公司產(chǎn)品的可靠性存在重大虛假和誤導(dǎo)性陳述，隱瞞了關(guān)鍵信息，對(duì)他們構(gòu)成了欺騙。目前，投資者已在德克薩斯州奧斯汀聯(lián)邦法院提起了集體訴訟。

達(dá)美航空公司要求CrowdStrike賠償因服務(wù)癱瘓?jiān)斐傻膿p失，稱故障在5天時(shí)間內(nèi)影響了數(shù)千個(gè)航班，數(shù)十萬旅客被迫滯留，帶來的損失達(dá)5億美元，并表示CrowdStrike只提供了“免費(fèi)的咨詢建議來幫助我們“。

藍(lán)屏宕機(jī)事故波及全球下游企業(yè)

由于CrowdStrike被全球眾多企業(yè)采用，此次事故受災(zāi)范圍之廣、受害程度之深為近年罕見。

對(duì)交通運(yùn)輸業(yè)而言，由于航空系統(tǒng)高度復(fù)雜，不少航司在此事件中受創(chuàng)嚴(yán)重，甚至需要幾周時(shí)間才能完全恢復(fù)。據(jù)報(bào)道，事發(fā)后，達(dá)美航空、聯(lián)合航空和美國航空在內(nèi)的幾家主要美國航空公司的所有航班在當(dāng)天早上被迫停飛，僅達(dá)美航空一家航司在幾天內(nèi)就總計(jì)取消了將近6300個(gè)航班。在鐵路方面，英國最大的鐵路運(yùn)營商GTR稱面臨技術(shù)問題；西日本旅客鐵道公司列車行駛位置信息因Windows系統(tǒng)故障導(dǎo)致無法獲取。

宕機(jī)事故也給制造業(yè)帶來停工危機(jī)，一些制造業(yè)巨頭報(bào)告稱，其生產(chǎn)線因?yàn)殛P(guān)鍵系統(tǒng)的癱瘓而被迫停工。根據(jù)媒體報(bào)道，特斯拉工廠多條產(chǎn)線因故障導(dǎo)致設(shè)備開始報(bào)錯(cuò)，位于奧斯汀、德克薩斯和內(nèi)華達(dá)的超級(jí)工廠不得已讓部分工人提前下班，特斯拉CEO馬斯克揚(yáng)言要在所有系統(tǒng)中全部刪掉CrowdStrike軟件，并配上了一張“火燒CrowdStrike機(jī)房”的AI生成圖片。

馬斯克炮轟CrowdStrike并附上一張“火燒CrowdStrike機(jī)房”的AI生成圖片

在其他領(lǐng)域，小至地方超市收銀系統(tǒng)，大至倫敦交易所也受到影響導(dǎo)致服務(wù)異?；驎和＃瓦B巴黎奧運(yùn)會(huì)系統(tǒng)也被波及，奧組委表示CrowdStrike問題影響了奧運(yùn)會(huì)證件的激活流程，因此激活服務(wù)將暫停。

曾經(jīng)的全球網(wǎng)安一哥，風(fēng)光無限

公開資料顯示，CrowdStrike是全球知名的下一代終端安全廠商。公司成立于2011年，CrowdStrike 成功將最先進(jìn)的端點(diǎn)保護(hù)與云端專家情報(bào)相結(jié)合，不僅可以掃描追溯惡意軟件，還可以確定攻擊者本身。CrowdStrike 和全球數(shù)十家著名企業(yè)組成技術(shù)合作伙伴，為網(wǎng)絡(luò)安全行業(yè)提供實(shí)時(shí)的更新和防護(hù)。

CrowdStrike 2012年—2013年推出拳頭產(chǎn)品威脅情報(bào)服務(wù)Falcon X及終端檢測與響應(yīng)(EDR)產(chǎn)品 Falcon Inshight，并在2017年迅速豐富終端安全產(chǎn)品線，先后發(fā)布下一代防病毒、IT資產(chǎn)管理系統(tǒng)、惡意軟件搜索、漏洞管理、沙箱及端點(diǎn)設(shè)備控件等 多個(gè)產(chǎn)品模塊，且于2019年推出PaaS安全平臺(tái)CrowdStrike Store，構(gòu)建了終端安全產(chǎn)品+威脅情報(bào)服務(wù)+專家服務(wù)，SaaS+PaaS的完整安全生態(tài)。

由于抓住了AI+網(wǎng)絡(luò)安全的重要發(fā)展機(jī)遇，CrowdStrike的市值在2024年6月達(dá)到了950億美元，逼近千億美元大關(guān)，成為繼Palo Alto Networks之后第二家市值突破千億美元的純網(wǎng)絡(luò)安全廠商，這一成就標(biāo)志著CrowdStrike在全球網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)地位。CrowdStrike的市值增長和其在網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)領(lǐng)先地位，使其成為全球網(wǎng)絡(luò)安全公司市值首位“寶座”的?？?。公司的產(chǎn)品和服務(wù)被包括微軟、亞馬遜AWS在內(nèi)的一些最大的云服務(wù)公司提供商所使用，也包括主要的全球銀行、醫(yī)療保健和能源公司。

旗下拳頭產(chǎn)品Falcon為176多個(gè)國家的客戶提供端點(diǎn)安全、威脅情報(bào)和事件響應(yīng)服務(wù)，每天搜集和分析全球超過300億終端事件。通過云原生架構(gòu)和集成的XDR解決方案，F(xiàn)alcon在終端安全領(lǐng)域展示了技術(shù)領(lǐng)先性。該平臺(tái)通過眾包數(shù)據(jù)策略和AI驅(qū)動(dòng)的分析引擎，實(shí)現(xiàn)了對(duì)客戶數(shù)據(jù)的深度學(xué)習(xí)和應(yīng)用，這不僅提升了安全防護(hù)的精準(zhǔn)度，也極大地增強(qiáng)了客戶黏性。具體來說，F(xiàn)alcon平臺(tái)采用的是云端與用戶端點(diǎn)相結(jié)合的體系架構(gòu)，主要由Falcon Sensor、Falcon Management Console、Threat Graph、Falcon APPS、Falcon APIs等模塊組成。Falcon Sensor部署在用戶端點(diǎn)，其他模塊位于Falcon Cloud端。

（1）Falcon Sensor模塊：CrowdStrike公司在Falcon平臺(tái)中設(shè)計(jì)了一個(gè)代理（Agent），它是一個(gè)輕量化的傳感器，部署在用戶環(huán)境中。這個(gè)傳感器不僅能夠阻止已知特征的惡意攻擊，還可以阻擋未知惡意攻擊，同時(shí)記錄所有相關(guān)端點(diǎn)的活動(dòng)信息，以保證可以清楚的了解環(huán)境中的每一個(gè)環(huán)境。

（2）Threat Graph模塊：具有強(qiáng)大的圖形分析能力，并關(guān)聯(lián)Crowd Strike全球客戶數(shù)十億的安全事件。它存儲(chǔ)于分析海量（達(dá)到PB級(jí)）的歷史資料，使用先進(jìn)的算法與智能處理來檢測“一切未知的事件”。

（3）Falcon APIs模塊。CrowdStrike針對(duì)其平臺(tái)架構(gòu)提供非常豐富的API接口讓其他企業(yè)能夠基于既有的安全架構(gòu)來整合其他網(wǎng)絡(luò)安全防護(hù)系統(tǒng)（例如：SIEMs, IPS/IDS...等）。

（4）Falcon Management Console模塊：Falcon Management Console接口通過管理界面提供對(duì)所有事件的完整信息以及圖表，及時(shí)的警報(bào)和詳細(xì)的搜索功能。

（5）Falcon APPS模塊：FalconAPPS模塊具備網(wǎng)絡(luò)安全防御、端點(diǎn)防護(hù)與響應(yīng)、主動(dòng)防御威脅事件等能力。

彼時(shí)的CrowdStrike真可謂是風(fēng)光無限，卻不知危險(xiǎn)已經(jīng)隱藏在繁榮的陰影之中。

缺乏敬畏心，CrowdStrike跌下神壇

也許誰都沒有料到，CrowdStrike自創(chuàng)立以來面臨的最大危機(jī)竟來的如此突然。一家曾經(jīng)全球市值第一的網(wǎng)安一哥，最終因?yàn)橐淮伟踩录律駢@不得不說令人感到惋惜。

根據(jù)事后發(fā)布的最新調(diào)查結(jié)果，是由于一個(gè)關(guān)鍵的漏洞存在于CrowdStrike用于驗(yàn)證系統(tǒng)更新準(zhǔn)確性的質(zhì)量控制工具中，導(dǎo)致在更新推送時(shí)被錯(cuò)誤地推送至了用戶終端。

美國高科技技術(shù)研究和咨詢公司未來集團(tuán)（The Future Group）指出，這并非一次純粹的網(wǎng)絡(luò)安全事件，而是一個(gè)補(bǔ)丁更新管理不善導(dǎo)致大范圍破壞的問題。

換言之，CrowdStrike此次中斷事件中最嚴(yán)重的問題不是技術(shù)問題，而是內(nèi)部流程存在大問題，即在軟件彈性和測試、快速響應(yīng)內(nèi)容部署以及第三方驗(yàn)證方面的缺失，而更層次地原因是，越來越多的榮譽(yù)和越來越高的市值，讓CrowdStrike公司內(nèi)部對(duì)安全的敬畏心正在消失。

有時(shí)候安全就是這樣令人難以捉摸，在事故發(fā)生之前，這不過是CrowdStrike公司一次再正常不過的軟件更新，和之前的每一天都一樣。但就是這樣平常的一天，給網(wǎng)安一哥當(dāng)頭一棒，從此走下神壇。

可見，安全大廠的光環(huán)隨時(shí)可能破滅，尤其是關(guān)乎每一臺(tái)電腦的基礎(chǔ)安全軟件，任何紕漏都可能釀成難以預(yù)估的災(zāi)難性連鎖反應(yīng)。對(duì)于安全廠商而言，CrowdStrike 引發(fā)的大規(guī)模宕機(jī)事件說明，在保證產(chǎn)品服務(wù)質(zhì)量的同時(shí)，科學(xué)的部署流程正變得越發(fā)重要，確保在進(jìn)行更大規(guī)?；蛉娌渴鹎安粫?huì)產(chǎn)生服務(wù)、兼容性、安全性或其他問題。

安全沒有止境，作為網(wǎng)安廠商更是需時(shí)刻保持警覺和敬畏，當(dāng)我們逐漸習(xí)以為常、放松警惕之際，也許正是巨雷緩緩形成之時(shí)。