Crowdstrike宕机：The world is in meltdown： Crowdstrike宕机的前线

　　大约在下午3点30分的时候，阿什温·帕尔(Ashwin Pal)的手机开始爆炸。

　　当他在家工作时，数百条短信、电话和电子邮件如潮水般涌来，似乎是同时发生的。

　　帕尔说:“我对我的家人说，‘世界要崩溃了’，一旦事情的严重性变得清晰起来，我就告诉他们‘周末结束了，周一见’。”

　　“这看起来像是一次网络攻击，每个人最初都是这么想的，因为每个人的电脑屏幕都同时变蓝了。他们惊慌失措地给我打电话，说‘天啊，救命’。”

　　帕尔是安全领域的资深人士，在悉尼的咨询和税务巨头RSM Australia担任风险咨询部门的合伙人。在过去的二十年里，他一直在为大型客户提供IT系统、安全性和事件响应方面的服务。

　　他说:“钻探多少都无所谓。”“压力水平和肾上腺素都会上升。”

　　上周五CrowdStrike宕机导致近1000万台电脑宕机，导致全球数千架航班停飞，银行、医院和铁路线瘫痪，Pal当时就在第一线。在许多情况下，全球的IT管理员被迫物理访问受影响的机器以部署修复程序。

　　在帕尔的例子中，他很快就冲进办公室和他的团队一起工作，他们把它变成了一个有效的作战室。从那时起，他的团队采取了“分而治之”的方法，与每个客户合作，使他们的系统重新上线。

　　“CrowdStrike是企业网络检测和响应领域的法拉利，因此受到影响的是那些财力雄厚的客户。这只是东南亚的一个小插曲，但澳大利亚和新西兰等发达国家受到了重创。”“当美国还在睡觉的时候，我们首先被击中。”

　　CrowdStrike周四发布了第一份针对宕机事件的事后报告。该公司表示，这起事件是由CrowdStrike Falcon软件更新中的一个漏洞引起的。CrowdStrike Falcon是该公司的软件，位于计算机后台，用于监控网络威胁。CrowdStrike Falcon运行在Windows系统的内核级别，这意味着它比大多数其他程序拥有更多的特权。

　　但根据事后报告，该更新“有问题”，引发了内存问题，导致Windows臭名昭著的“蓝屏死机”。Mac和Linux主机没有受到影响。CrowdStrike有一个“内容验证器”，可以在软件更新发布前对其进行审查，但由于一个漏洞，该程序错过了更新的错误内容。

　　帕尔说，拯救客户的电脑需要进入安全模式，重新启动电脑，删除违规文件，然后重新启动。

　　他说:“这需要相当大的努力，因为有些机器可以远程操作，但有些机器必须亲自操作。”微软还提供了一个名为BitLocker的安全功能，可以对你的硬盘进行加密。在我们做任何事情之前，它也必须被禁用。”

　　事件发生一周后，其影响仍在继续——一些组织可能需要几个月的时间才能完全恢复——黑客已经开始利用这个机会瞄准CrowdStrike的客户。

　　领导众议院国土安全委员会的美国共和党人本周表示，他们想要答案，并要求CrowdStrike首席执行官乔治·库尔茨(George Kurtz)在国会作证。

　　田纳西州的马克·e·格林(Mark E. Green)和纽约州的安德鲁·加巴里诺(Andrew Garbarino)在给库尔茨的信中说，“虽然我们感谢CrowdStrike的反应以及与利益相关者的协调，但我们不能忽视这起事件的严重性，有人声称这是历史上最大的IT中断事件。”

　　他们补充说，美国人“应该详细了解这起事件是如何发生的，以及CrowdStrike正在采取的缓解措施。”

　　澳大利亚人也在要求答案。

　　墨尔本出生的迈克·森托纳斯是周五这场风暴的中心。他是CrowdStrike的全球总裁，在过去的十年里，他在公司里步步高升，成为澳大利亚在全球排名最高的科技高管之一。Sentonas目前总部位于拉斯维加斯，价值约2.25亿美元。

　　自上周五停电以来，CrowdStrike一再要求对senonas进行采访，并提出详细的书面问题，但仍拒绝接受采访。周三，他接受了天空新闻的采访，并向观众道歉。

　　“我们深表歉意。我个人对发生的事情表示道歉。”

　　“我们理解我们给很多人造成的破坏和痛苦。首先，我认为重要的是我们发布了一个更新，这是我们定期做的，我们已经做了十多年。我们大错特错了。

　　“我们很快就发现了问题所在。我们阻止了这个特定文件的传播，但不幸的是，世界上很多人都可以访问这个文件……人们的经历是蓝屏死机。”

　　CrowdStrike向周末加班的团队成员和合作伙伴发放了价值10美元的Uber Eats礼品卡。由于大量礼品卡被兑换，优步将这些礼品卡标记为欺诈，因为它们的使用率很高。

　　“为了表达我们的感激之情，你的下一杯咖啡或宵夜由我们买单!CrowdStrike首席商务官丹尼尔·伯纳德(Daniel Bernard)签署的一封电子邮件写道。

　　然而，Uber Eats的礼品卡对受影响的企业来说还不够。初步估计，仅在澳大利亚，停电造成的损失就超过10亿美元，这引发了谁来买单的问题。

　　詹姆斯·诺斯(James North)是独立律师事务所Corrs Chambers Westgarth的技术主管，该公司过去一周一直在与受影响的企业进行谈判。

　　据诺斯说，全国各地的企业现在都在权衡他们是否能弥补因停电造成的经济损失，包括需要额外的IT人员和无法进行交易。

　　他说，企业的网络政策或业务中断政策是否适用仍是一个悬而未决的问题。

　　更明确的是，CrowdStrike只会退还客户的订阅费。该公司的标准合同意味着，该公司不必为停电造成的损失买单。

　　North表示:“CrowdStrike的标准合同不包括收入损失和其他相应损失的责任。在考虑法律救济时，澳大利亚的客户也不能诉诸当地法院，因为在CrowdStrike的标准合同中，他们必须同意接受纽约的管辖法律和新加坡的仲裁。

　　“有些客户可能比CrowdStrike的标准责任安排更好。对其他人来说，澳大利亚的消费者法可能是最好的办法。”

　　诺斯说，澳大利亚企业在某些情况下可以获得法定担保，特别是在购买价值在10万澳元或以下的商品或服务时。

　　“在澳大利亚，任何服务都保证以应有的谨慎和技能提供。他说:“如果资讯科技供应商在软件更新中引入编码错误，或者在将更新部署到客户的资讯科技系统之前没有适当地测试更新，有些人可能会认为该保证已被违反。”

　　“由于供应商未能遵守法定担保，企业也可收回其‘合理可预见的损失’。”在某些情况下，这可能包括交易和其他财务损失。”

　　他表示，由于客户合同中嵌入了仲裁条款，提起集体诉讼可能极其困难。

　　对于Pal来说，软件公司不太可能改变他们的标准合同，因为像这样的中断可能会使他们破产。他说，这一事件强调了购买足够保险的重要性。

　　Pal指出，一旦尘埃落定，包括APRA在内的澳大利亚监管机构可能很快就会介入，他指出了CPS 230。这是一项将于2025年7月生效的新标准，重点关注业务弹性，包括第三方风险管理和业务连续性，这两个方面都受到了CrowdStrike中断的严重影响。

　　他说:“展望未来6到12个月，我预计这两个领域将受到相当多的关注，因为监管机构将采取行动，确保当此类事件发生时，无论是恶意的还是其他的，它基本上不会让世界崩溃。”

　　“我要直言不讳地说，这清楚地概述了组织在IT灾难恢复和业务连续性计划方面的绝对失败。

　　“这不是你的普通事件，但无论如何，这是你必须准备的事情。因为如果你为这样的事情做好了准备，那么其他的事情就很容易了。”