网络安全公司CrowdStrike本周在美国国会一个小组委员会面前解释了该公司的软件更新是如何导致全球850万台Windows电脑暂时瘫痪的,以及该公司将如何确保这种情况不会再次发生。
CrowdStrike反对手行动高级副总裁Adam Meyers表示,该公司在发布更新时采取了更多的预防措施。但他也反驳了一些议员的质疑,这些议员质疑微软在深入Windows操作系统内部实施更新是否存在错误。虽然一些议员认为直接向操作系统内核推送更新意味着一个错误可能会造成严重后果,但迈耶斯表示,如果网络安全软件要跟上黑客的步伐,这种深层访问是很重要的。
7月份的事件源于一款用于检测和阻止网络攻击的传感器产品的内容更新出现故障。当时,CrowdStrike对待内容更新并不像对待代码更新那样谨慎。在这种情况下,用于检查内容更新的验证器工具错过了发现缺陷,并将有缺陷的更新标记为可以继续进行。当时,CrowdStrike同时向全球所有客户推出了这款游戏。这个错误的内容更新实际上指示传感器执行一个不可能的操作,导致挣扎的传感器失败。传感器在Windows操作系统的内核级别运行,因此当传感器故障时,它们也会导致系统故障。
“这几乎就像你想象一个棋盘,试图将棋子移动到一个没有正方形的地方……当(核传感器)试图处理规则时,它不能做规则要求它做的事情。“…完美的风暴是内容验证器允许将内容配置发送到传感器,而传感器无法找到它正在寻找的规则,从而导致问题。”
CrowdStrike现在对内容更新采取了与代码更新相同级别的保护措施,“我认为这不是目前的行业标准,”Meyers说。
这意味着它每天平均10到12次的内容更新不再同时向所有用户推送。相反,CrowdStrike将首先在内部测试和部署其内容更新,然后将其发布给选择成为早期采用者的客户。迈耶斯说,那些想要在自己的系统上测试更新并检查意外行为的人可能会采取这种选择。
下一组接收更新的客户是“一般可用性”组。然后,其他客户可以选择稍后接收更新或根本不接收,迈耶斯说。客户可能会选择在更新关键和高度敏感的系统之前等待更长的时间,以减少未被发现的故障更新导致重要内容中断的风险。但任何等待的人也必须记住,网络安全形势发展迅速,需要更新以及时响应威胁信息。
众议员埃里克·斯瓦尔韦尔(加州民主党)和安德鲁·加巴里诺(纽约州共和党)也向迈耶斯追问,为什么CrowdStrike会直接在Windows操作系统内核中发布更新,因为这个级别的错误可能会导致整个系统崩溃。
Garbarino引用了其他网络安全提供商的报告,称访问内核是不安全的,而Swalwell表示,在用户模式下发布更新只会导致应用程序崩溃,而不会导致系统崩溃。
然而,Meyers表示,频繁的内核更新对于抵御威胁至关重要,他不知道如何更新特定操作系统的行业标准或最佳实践。
迈耶斯说,访问内核允许网络安全软件能够看到操作系统上的所有活动,执行安全规则,并阻止试图访问系统的威胁行为者进行潜在的篡改。他说,例如,精通社会工程的网络犯罪组织“分散蜘蛛”(Scattered Spider)曾入侵过美高梅酒店集团(MGM Resorts),他们一直在使用技术来提升对内核的访问权限,从而禁用安全规则。这使得防御者拥有内核访问权限来阻止它们变得非常重要。Meyers避免暗示任何特定操作系统的内核和内核访问方法比其他操作系统更好。他说,安全产品是针对每个特定操作系统的特性而设计的。
众议员威尔·蒂蒙斯(R-SC)质疑是否会采取任何措施来补偿在事件中遭受损失的最终客户,比如错过航班的乘客或无法开展业务的组织,他说:“这是我们需要进行的对话的一部分。”-政府科技/论坛新闻服务
×本文来自作者[绿夏]投稿,不代表教外号立场,如若转载,请注明出处:https://www.sgkaplan.com.cn/cshi/202507-732.html
评论列表(4条)
我是教外号的签约作者“绿夏”!
希望本篇文章《CrowdStrike国会听证会:汲取经验与教训》能对你有所帮助!
本站[教外号]内容主要涵盖:国足,欧洲杯,世界杯,篮球,欧冠,亚冠,英超,足球,综合体育
本文概览:网络安全公司CrowdStrike本周在美国国会一个小组委员会面前解释了该公司的软件更新是如何导致全球850万台Windows电脑暂时瘫痪的,以及该公司将如何...