內容
2024年7月19日資安公司CrowdStrike的Falcon Sensor更新程式出現故障,導致全球各地Windows電腦出現藍色畫面當機(BSOD)狀況,全球企業和政府機關產生影響,包括航空公司、醫院、運輸機構及媒體公司等,許品Falcon Sensor市佔率為前幾名,因此這次更新問題導致大量Windows電腦多機構的運營受到嚴重干擾。CrowdStrike是知名的網路安全公司,其端點防護產陷入當機及系統重啟的循環,使得用戶無法正常使用電腦。
此次事件是由於Crowdstrike的Falcon平台派送有缺陷的更新所引起,導致已安裝該產品的某些版本Windows系統大範圍崩潰。許多企業反映其Windows電腦會自動重新啟動,並不斷循環地進入藍色當機畫面,其影響巨大,使全球的關鍵基礎設施營運產生嚴重衝擊,包含德國、日本、印度和美國的企業都出現類似問題。在台灣,許多公私立機關和企業也受到了影響,多家銀行、醫療機構及科技公司在事件發生後紛紛發現其系統無法正常運作,部分機構的業務運營因此中斷超過1小時。
CrowdStrike在發現問題後迅速做出了反應,發布了修補程式及解決方案。該公司表示這不是網路攻擊,問題的根源是某個Falcon Sensor更新檔案未經充分檢查所致。CrowdStrike已經刪除錯誤更新檔案並發布了修補程式,用戶可透過官方網站提供的步驟回復系統(可參考相關連結)。
此外,微軟針對此當機狀況提出2個復修方式,分別是「從WinPE復原」及「從安全模式復原」。若選擇從「從WinPE復原」,可以快速並直接復原系統,不需要系統管理者的權限,但系統已透過BitLocker或第三方軟體加密時,需先解除加密狀況才能修復受影響的系統。若選擇「從安全模式復原」,則需使用本地管理者權限的使用者登入後進行修復。需要注意的是,在復修之前需先下載已簽署的Microsoft Recovery Tool,並透過工具中的powershell檔案建立USB開機碟。
全球資訊科技研究顧問公司 Gartner 指出,企業即使在此次事件未受影響,以安全性的角度來看,仍需關注其帶來的影響,以防範未來類似事件的發生。Gartner 同時建議企業應重視資安事件的應變措施,資安事件發生時的相關處理措施如下:
立即採取行動(第一到七天):
【事件應變與危機管理】
通知危機管理團隊,讓其參與並協助應處
通過有效的危機溝通通知所有利害關係人
驗證資訊來源以避免遭受二次網路攻擊
動員危機管理團隊以防止使用者操作失誤
指派專門的溝通團隊進行內部利害關係人的協調
讓安全運營團隊參與監控和應對新威脅
【技術修復】
讓 IT 專業人員幫助使用者解決問題
建立分類流程,以對資產進行分類並確定設備修復的優先順序
利用資產管理工具識別並列出已離線的設備
避免過度反應,例如完全停用或替換CrowdStrike
中期行動(第1到2週):
【評估影響與安全】
與 SOC 團隊一起檢視異常情況,以降低未檢測到的攻擊風險
參與營運衝擊分析會議,一同討論潛在的安全風險
向公司中高階領導報告設備的狀況,並持續提供穩定的環境
盡量讓端點保護工具在佈署更新檔時能先行測試,減少更新失敗的狀況
可透過輪班或其它方式,以減輕員工的壓力及倦怠感
長期行動(第8 至 12 週)
【韌性和準備】
重新審視公司在發生大規模主機當機時的預防、回應和支援程序
檢查並更新停機程序,並根據需要修訂危機溝通計劃、事件反應流程及災害復原和持續營運計畫
確保關鍵員工有能力並參與測試企業系統
CrowdStrike 的停機事件強調了專注於韌性的必要性,必需建立全面性的策略目標
部署安全產品前評估其效益,選擇合適的工具以改善現有的防護機制