国际特稿:蓝屏大宕机 映出全球科技警示
一个多星期前全球大宕机事件,许多人可能不是通过新闻媒体得知消息,而是工作到一半电脑突然出现“死亡蓝屏”、在超市买东西无法刷卡付款,又或是停车场闸门不开而受困车龙,生活日常全被打乱。这不是一次恶意网络攻击,但波及范围广泛、影响深远,凸显了人类对电脑系统过度依赖的问题。
7月19日,网络安全公司CrowdStrike在推出软件更新时,没有经过严密测试就大规模推送,导致许多微软视窗(Microsoft Windows)用户蓝屏死机,微软云服务也连带崩溃。
CrowdStrike的这次失误造成的冲击远不止于此,不单是民众日常生活陷入停顿,随之而来的是全球大范围的网络故障,波及欧美、亚洲多国的航空、医疗、金融、零售等多个行业,造成的负面影响和冲击震惊全球。
微软估计,这次技术故障影响了全球850万台使用视窗操作系统的设备。
按保险公司Parametrix估算,这次的全球大宕机,使不包括微软在内的美国财富500强企业损失54亿美元(约72亿5000万新元)。在全球造成的经济损失更可能高达150亿美元。
很多人可能感到不解,两家公司发生问题,为什么会殃及全球。
在大宕机事件发生前,一般民众大多对CrowdStrike前所未闻。事实上,CrowdStrike是美国的网络安全龙头公司,在全球范围内为各种规模的企业和机构提供网络安全解决方案,帮助它们检测并阻止黑客袭击。但这次事故却是CrowdStrike软件更新存在瑕疵惹的祸,使这家提供先进网安服务的公司反而成了问题的源头。
CrowdStrike在全球拥有近3万个客户,当中包括微软和亚马逊(Amazon)等科技巨头。微软的视窗系统在全球获广泛使用,所以当CrowdStrike向微软推送的软件更新出问题时,有缺陷的软件也跟着被部署到所有用户的系统中,受影响的全球用户因此不计其数。
英国伦敦大学学院信息安全系助理教授瓦谢克(Marie Vasek)接受《联合早报》电邮访问时警告,全球技术系统对少数几家巨头的软件依赖已经达到了危险程度。
瓦谢克说,CrowdStrike的技术和服务在全球占据主导地位,这种技术垄断现象暴露出全球经济依赖少数软件服务的脆弱性。
她认为,企业须要审慎评估自身对单一技术提供商的依赖程度,引入多元化的技术和服务,降低系统性风险。“微软和CrowdStrike也应深入审查内部程序流程,确保类似情况不再发生。”
不过,科技领域普遍存在垄断现象,企业要让电脑操作系统走向多元,是个巨大的挑战。
全球科技依赖几家大公司 专家:要打破并非易事
券商公司Wedbush Securities分析师艾夫斯(Daniel Ives)告诉《联合早报》:“在科技领域,往往是强者愈强,这一趋势将随着人工智能的革命而加速。微软、谷歌和亚马逊拥有强大的云计算能力,网安行业则由包括CrowdStrike在内的少数参与者主导。”
根据网上资料,全球首15家公司占据了网安产品和服务市场的超过一半份额。在现代端点安全领域,即保护个人电脑、笔记本电脑和其他设备的业务,寡头垄断更严重,三家公司控制了一半的市场,而微软和CrowdStrike是最大的两家。
CrowdStrike的产品理应增强系统的安全性,而不是破坏系统的稳定性。网安专家普遍认为,此次事件可能会动摇一些客户的信心。CrowdStrike可能需要一段时间来修复公司形象,至少在短期内,新业务的签约进展可能会受打击。但要打破全球科技对少数几家公司的依赖并非易事。
澳大利亚默多克大学信息技术学院教授帕里(Dave Parry)回复《联合早报》询问时说:“开发可靠且有效的安全软件非常困难。大公司如CrowdStrike往往拥有更多的可用资源,特别是用于管理须定期更新的流程。”
他指出,大多数使用这些安全软件的公司都希望与知名大公司合作,以管理风险。在这一点上,小公司自然比较吃亏,而CrowdStrike的产品,直到现在一直是非常安全可靠的。
澳洲网络安全专家菲尔(Nigel Phair)也向《联合早报》分析:“CrowdStrike在全球网安领域占据主导地位,因为它拥有顶尖的开发设备以及雄厚的资金。起步公司要与这样的科技巨头竞争是非常困难的。”
尽管能选择的网安供应商不多,但菲尔强调,用户还是应尽可能想办法避免依赖单一技术公司提供重要服务。
菲尔认为,无论公司规模大小,都应加强风险管理程序,并与第三方供应商密切合作,以确保在故障发生时能够快速反应和恢复。虽然这可能会增加安全和维护成本,但这可以显著降低因单一服务故障而造成的业务中断风险。
他说:“与其他任何行业一样,过度依赖一家公司是非常不健康且危险的。”
这次发生的全球大宕机,一些国家如中国和韩国受到的影响似乎较小,这正是因为它们对受影响平台的依赖程度较低。在中国,多数企业并未购买美国公司的安全软件,而在韩国,使用微软云平台的企业仅占24%。
系统频繁自动更新存安全风险
这次的大范围宕机事件也带出了系统频繁自动更新潜藏的安全风险。
由于恶意软件层出不穷,技术不断进化,安全软件也必须持续升级连接性和控制范围,以应对新挑战。这类更新升级,甚至可能每天得进行一次。然而,深度访问权限伴随着高风险,一次软件更新可能意外导致整个系统崩溃。
在美国哈佛大学肯尼迪政治学院任教的安全技术专家施奈尔(Bruce Schneier)接受早报访问时作了一个生动的比喻。“如果一栋房子的内墙、地板、电线等,必须让负责的装修商持续进屋维修,这样的房子你还会住吗?绝对不会,但这恰恰是我们软件系统的运作方式。”
专家强调,安全软件必须经过严格的测试流程。更安全的方法是在更新软件前,先提供给少部分特定用户群体试用,再正式推广至所有用户。
菲尔指出,安全软件的更新频率极高,必须格外小心,确保每次发布的内容准确无误。
CrowdStrike星期三(7月25日)发布事故报告时宣布,今后会在发布更新前增加软件测试,并逐步推出更新,以便能在更新大规模发布之前尽早发现问题,防止大范围宕机事故重演。
不法分子趁机设骗局 网安机构提醒用户警惕
大宕机事件后续影响仍在不断发酵,CrowdStrike总裁库尔茨(George Kurtz)发声明,向所有受影响的机构、团体和个人道歉。他同时警告,恶意行为者有可能会试图利用这次事件,提醒大家保持警惕。
多国网络安全机构,包括新加坡、美国、英国和澳大利亚也在大宕机事件发生后警告,有不法分子正在利用这次事件的热度发起攻击,企业和个人应警惕有人冒充CrowdStrike公司员工或技术专家,以“修复系统”为名展开的网络钓鱼行动。
有网安专家统计,大宕机事故发生后,七天内就有超过2000个围绕“CrowdStrike”这个名字的误植域名(typosquatting)被登记。这些域名里含“CrowdStrike”或发音相近的字,目的是欺骗用户访问网站。
美国网安与基础设施安全局(Cybersecurity and infrastructure security agency,简称CISA)发声明指,虽然这次的宕机事件与网络攻击和恶意活动无关,但CISA发现恶意行为者正在利用这一事件,针对CrowdStrike用户展开钓鱼诈骗。CISA提醒公众,应避免点击网络钓鱼邮件或可疑链接,因为这可能导致电子邮件泄露和其他欺诈问题。
美国达美航空仍无法解除故障
这次全球大宕机造成的影响深远,一些企业甚至还未完全恢复过来。美国国会众议院已传唤库尔茨,要求他就宕机事件供证,详细解释事件原因及应对措施。
此外,美国交通部也宣布要对达美航空公司(Delta)展开调查。大规模宕机后,大多数的美国航空公司已恢复正常运营,但达美航空却迟迟无法解除故障,造成全美各地有大量达美航空的旅客滞留机场。据报,系统故障发生后,达美航空共取消超过6600架次航班,远远超过美国其他航空公司。
微软要欧盟委员会对大宕机负责
无预警的蓝屏死机发生后,微软很快便把矛头指向欧盟,认为欧盟委员会应为这次堪称有史以来最严重的网络故障事故负责。
微软发言人说,2009年公司与欧盟委员会达成的一项监管协议,是微软不能进一步加固公司操作系统以提高安全性的原因。根据协议,微软有义务向CrowdStrike这样的第三方安全软件开发商,提供与微软相同的视窗访问权限。
欧盟委员会当时提出这项要求是因为微软视窗被广泛使用,委员会担心这会进而让微软在网页浏览器等市场也占尽不公平的优势。
但微软控诉,这一政策的代价是系统安全性降低,蓝屏死机事件正是这一政策造成的严重后果。微软发言人说:“尽管公司希望能够进一步锁定操作系统以提高安全性,但欧盟的要求使得这一目标难以实现。”
反观微软的对手苹果公司,在2020年通知所有软件开发商,它不再开放macOS操作系统最核心的内核(kernel)访问权。这迫使软件开发商必须重新编程安全软件。开发商当时怨声载道,但却也因为苹果公司的这一决定,让它的系统幸免于这次的大宕机。
欧盟不太可能对微软放宽监管
微软认为,如果继续按照与欧盟的协议行事,未来不可避免地会再发生类似的大规模技术事故。不过,《华尔街日报》指出,近年来,欧盟一直在加大力度打击大型科技公司的所谓反竞争行为,因此它不太可能允许微软进一步加固视窗。
7月19日发生的蓝屏事件,是继2017年以来,全球规模最大的一次大宕机。2017年,“想哭”(WannaCry)勒索病毒软件利用微软视窗系统漏洞袭击全球多地联网电脑,影响多国政府部门和多个行业运转。
没想到时隔七年后,一家网安公司的一个错误,竟会掀起全球范围的停摆,几乎没有一个行业不受业务中断干扰。在科技日益发达的今时今日,任何一次小小的疏忽都可能引发全球连锁反应。
这次事件除了考验全球各大行业的应变能力,也再次敲响网络安全的警钟,提醒大家要时刻保持警惕。