[中国,北京,2024年7月19日] “微软蓝屏”事件突然登上全球各大社交媒体热搜,引发广泛关注和讨论。据了解,Windows电脑的“蓝屏死机”问题在全球范围内多地爆发,数百万Windows用户正将遭遇这一困扰。“蓝屏死机”问题对全球众多领域造成了严重影响,众多企业正经历业务中断的困境,涉及的行业包括航空、银行、铁路、电信、媒体、医疗健康、旅游与酒店业等。
在航空,印度、捷克、泰国等众多航空公司被迫取消航班,影响数千架次航班。美国联合航空公司表示,本公司受第三方软件故障,所有飞机已经停飞(来源:第一财经)。在医疗,英国国家医疗服务体系表示多数医疗系统处于离线状态,造成患者无法预约就医(来源:中国社会保障学会)。在金融,全球多家银行、证券交易所和金融机构因微软系统故障而无法正常提供服务(来源:华尔街见闻)。运营伦敦证券交易所的LSEG集团表示其新闻和数据平台遭遇宕机,影响了全球用户金融交易(来源:华尔街见闻)。在铁路,日本旅客铁道公司列车行驶位置信息因Windows系统故障导致无法获取(来源:华尔街见闻)。
“微软蓝屏”风暴溯源,
内核模式运行的驱动程序出现兼容问题
微软公司发言人证实,此次Windows设备大面积蓝屏是 CrowdStrike 终端安全软件发布更新造成的。CrowdStrike 终端安全软件的驱动文件CSAgent.sys存在兼容性问题,升级后,导致许多Windows主机无法正常运行,致使大面积的业务中断和系统崩溃。CrowdStrike含内核模式运行的CSAgent.sys等驱动程序,用于监控系统活动。内核驱动程序可以访问和使用所有包括存储和外设等关键的系统资源。普通应用程序出现异常还有机会修复,内核模式加载运行的驱动程序出现异常,将无法进行错误恢复,最后操作系统不得不以蓝屏的方式停止工作,防止计算机中的资源或者硬件受到不可恢复的破坏。内核驱动程序相当于在人体的大脑或心脏中植入一块特定功能,人的肢体在受损后可以自动恢复或断臂求生,但大脑或心脏在受到植入功能的故障影响时,将很难自愈,同时影响更不可控。 CrowdStrike 采用SaaS服务模式,此次事件暴露了SaaS(软件即服务)升级上存在的疏漏。在服务面向最终用户推送升级前,需要采用严格的上线测试验证、租户级小批量灰度发布,再逐步推开的一个过程,才能避免大规模部署时可能出现的风险。对于企业自身来讲,重要应用的产品升级、补丁等需要依据自身的业务环境来评估。不同行业IT环境和应用复杂性高,需要管理员基于应用分级制定策略,进行全面的测试验证,灰度发布,再小批量逐步部署。为业务的稳定运行兜底,在策略上做好区隔,而不是完全交给SaaS厂商统一自动升级。不同安全、应用、基础设施、服务提供厂商,以及客户守好各自职责分界,做好自己的课题。
华为通过可信框架,
打造可信的高质量产品和解决方案
华为公司把网络安全和隐私保护作为公司的最高纲领。华为从系统工程的行业共识出发,基于可解释、可落地、可验证和有相当业界共识基础的四个原则定义可信框架。
华为可信任框架Huawei Trustworthiness Framework我们要在每一个ICT基础设施产品和解决方案中,都融入信任、构建高质量,包括:
安全性(Security):产品有良好的抗攻击能力,保护业务和数据的机密性、完整性和可用性。
韧性(Resilience):系统受攻击时保持有定义的运行状态(包括降级),遭遇攻击后快速恢复并持续演进的能力。
隐私性(Privacy):遵从隐私保护既是法律法规的要求,也是价值观的体现。用户应该能够适当地控制他们的数据的使用方式。信息的使用政策应该是对用户透明的。用户应该根据自己的需要来控制何时接收以及是否接收信息。用户的隐私数据要有完善的保护能力和机制。
安全性(Safety):系统失效导致的危害不存在不可接受的风险,不会伤害自然人生命或危及自然人健康,不管是直接还是通过损害环境或财产间接造成的。
可靠性和可用性(Reliability& Availability):产品能在生命周期内长期保障业务无故障运行,具备快速恢复和自我管理的能力,提供可预期的、一致的服务。
每一个产品在产品定义和完整实现环节、在创新中融入可信思考和控制,从源头就注入可信。我们还要保证产品从创新到客户现场的整个过程是完整、双向一致可追溯的,并在必要的时候提供恰当的(权限分离、信任、行为监控)机密性保护,确保产品没有被仿冒、篡改,确保部署、维护、处置作业过程和作业工具可信,敏感数据没有被泄漏。华为产品安全基线作为基本的安全要求,嵌入华为产品开发流程(IPD),从而可重复执行,而非随机执行。华为产品安全基线贯穿于产品的整个生命周期,执行IPD流程的相关角色和组织必须严格执行并落实华为产品安全基线。
在产品版本发布前,通过软件工程师、白盒验证工程师、特性测试工程师、安全测试工程师、渗透测试工程师、第三方安全认证机构等多道防线,从开发者安全测试、测试者安全测试、外部安全测试保障产品安全质量。内部独立的网络安全实验室(ICSL)负责以客户视角验证产品是否满足华为产品安全基线,对于不满足的版本,网络安全部门对其发布拥有否决权。
华为HiSec Endpoint终端安全防护系统:
自主、安全、可靠
此次大规模中断事件为业界与用户敲响警钟,凸显了网络安全产品自身问题的重要性。安全软件旨在保护用户数据免受恶意软件、病毒、黑客等威胁,但若其存在漏洞或不稳定,将危及用户数据安全,损害系统稳定性,增加安全风险。网络安全是数字经济、信息安全发展的基础,提升网络空间安全技术的自主研发能力,保障国家信息安全势在必行。这次事件也在提示企业在选择合作的网络安全厂商时,需要考虑企业的综合能力、技术自主研发和创新实力、管理能力、应急处置能力等多方面因素。企业应谨慎选择,确保采纳稳定可靠的终端安全防护软件,以保障系统的稳定性和业务的连续性。华为在2023年发布全面自主研发的HiSec Endpoint智能终端安全系统,集成了下一代AV引擎,业界首创的内存实时威胁图、深度内存防御无文件攻击,以及AI威胁分析,联动安全网关、HiSec Insight NDR等产品进行形成系统性防御方案,实现全局关联、多跳溯源和联动响应。构建从初始入侵、执行、横移&破坏防御,到最终研判的四层防御和闭环体系。在通用恶意软件上检出率达99.96%,勒索软件100%检出(赛可达测试报告数据)。对于勒索加密文件,可以实现一键自动还原,确保数据近零丢失。目前已经应用在多个行业中。
为了使产品稳定运行,华为HiSec Endpoint智能终端安全系统在设计上采用业务和框架分层模型,隔离软件故障域。通过压力测试、极端测试工具、本地测试覆盖等对容易造成问题的组件构建了一套严密的防护网,能在内部提前发现问题;特性严格采用灰度发布,持续运营,验证后逐步批量推送,降低稳定性风险;对于特性级故障,可通过管理侧逃生开关实现应急处置, 快速恢复业务运行。产品推出以来,没有造成过类似影响的严重事件。
华为HiSec Endpoint
三大系统性措施保障内核稳定
此次蓝屏事件主要源于产品驱动问题,内核安全驱动较普通应用程序具备更高的运行权限,可以访问更多的系统资源,但这也像守卫获得了利刃,使用稍有不当或存在小的错误,都可能使被保护的对象成为受害者,导致系统崩溃。华为HiSec Endpoint针对重要服务器,提供用户态轻量级监控方案。针对高风险终端,按需提供内核态驱动深度监控方案,并通过三大系统性措施确保产品高稳定性。
第一,领先的架构设计:采用业务和框架分离策略,不同功能模块组件化可独立测试、发布、加载、可开关,高内聚,弱耦合,减少软件故障影响。依托专业的系统安全和软件专家团队,在OS兼容性,API调用规范性等方面,保持敬畏,将业务稳定性作为最高看护目标。
第二,完善的测试防护网:华为Hisec Endpoint构建了完善的系统蓝屏防护网,梳理全量故障码,构建蓝屏故障模式库,测试专家通过故障注入、长稳、压测等多种方式全面覆盖可能出现的场景,实现模块级、组件级、特性级、产品级、生产环境级多层防护网,持续守护产品质量。
第三,细粒度逃生通道:在运维过程,借助按需降级的特性开关机制,所有基于框架的特性均可通过运维控制的方式,执行开关,实现故障场景可快速逃生,问题可排查与可降级。
评论