近期,“微软蓝屏”事件突然登上全球各大社交媒体热搜,引发广泛关注和讨论。“蓝屏死机”问题对全球多数领域造成了严重影响,众多企业经历业务中断的困境,涉及的行业包括航空、银行、铁路、电信、媒体、医疗健康、旅游与酒店业等。
.png)
微软蓝屏风暴溯源
内核模式运行的驱动程序出现兼容问题源
据微软确认,此次蓝屏事件与网络安全公司CrowdStrike终端安全软件发布更新有关。CrowdStrike 终端安全软件的驱动文件CSAgent.sys存在兼容性问题,升级后,导致许多Windows主机无法正常运行,致使大面积的业务中断和系统崩溃。
CrowdStrike含内核模式运行的CSAgent.sys等驱动程序,用于监控系统活动。内核驱动程序可以访问和使用所有包括存储和外设等关键的系统资源。普通应用程序出现异常还有机会修复,内核模式加载运行的驱动程序出现异常,将无法进行错误恢复,最后操作系统不得不以蓝屏的方式停止工作,防止计算机中的资源或者硬件受到不可恢复的破坏。
CrowdStrike 采用SaaS服务模式,此次事件暴露了SaaS(软件即服务)升级上存在的疏漏。在服务面向最终用户推送升级前,需要采用严格的上线测试验证、租户级小批量灰度发布,再逐步推开的一个过程,才能避免大规模部署时可能出现的风险。
对于企业自身来讲,重要应用的产品升级、补丁等需要依据自身的业务环境来评估。不同行业IT环境和应用复杂性高,需要管理员基于应用分级制定策略,进行全面的测试验证,灰度发布,再小批量逐步部署。为业务的稳定运行兜底,在策略上做好区隔。
华为HiSec Endpoint终端安全防护系统
此次大规模中断事件为业界与用户敲响警钟,凸显了网络安全产品自身问题的重要性。安全软件旨在保护用户数据免受恶意软件、病毒、黑客等威胁,但若其存在漏洞或不稳定,将危及用户数据安全,损害系统稳定性,增加安全风险。
网络安全是数字经济、信息安全发展的基础,提升网络空间安全技术的自主研发能力,保障国家信息安全势在必行。这次事件也在提示企业在选择合作的网络安全厂商时,需要考虑企业的综合能力、技术自主研发和创新实力、管理能力、应急处置能力等多方面因素。企业应谨慎选择,确保采纳稳定可靠的终端安全防护软件,以保障系统的稳定性和业务的连续性。
华为在2023年发布全面自主研发的HiSec Endpoint智能终端安全系统,集成了下一代AV引擎,业界首创的内存实时威胁图、深度内存防御无文件攻击,以及AI威胁分析,联动安全网关、HiSec Insight NDR等产品进行形成系统性防御方案,实现全局关联、多跳溯源和联动响应。构建从初始入侵、执行、横移&破坏防御,到最终研判的四层防御和闭环体系。在通用恶意软件上检出率达99.96%,勒索软件100%检出(赛可达测试报告数据)。对于勒索加密文件,可以实现一键自动还原,确保数据近零丢失。目前已经应用在多个行业中。
为了使产品稳定运行,华为HiSec Endpoint智能终端安全系统在设计上采用业务和框架分层模型,隔离软件故障域。通过压力测试、极端测试工具、本地测试覆盖等对容易造成问题的组件构建了一套严密的防护网,能在内部提前发现问题;特性严格采用灰度发布,持续运营,验证后逐步批量推送,降低稳定性风险;对于特性级故障,可通过管理侧逃生开关实现应急处置, 快速恢复业务运行。产品推出以来,没有造成过类似影响的严重事件。
华为HiSec Endpoint
三大系统性措施保障内核稳定
此次蓝屏事件主要源于产品驱动问题,内核安全驱动相较于普通应用程序具备更高的运行权限,可以访问更多的系统资源,但如果出现一个极小的错误,也很容易导致系统崩溃。华为HiSec Endpoint针对重要服务器,提供用户提供用户态轻量级监控方案。针对高风险终端,按需提供内核态驱动深度监控方案,并通过三大系统性措施确保产品高稳定性。
1.领先的架构设计:采用业务喝框架分离策略,不同功能模块组件化可独立测试、发布、加载、可开关,高内聚、弱耦合、减少软件故障影响。依托专业的系统安全和软件专家团队,在OS兼容性、API调用规范性等方面,将业务稳定性作为最高看护目标。
2.完善的测试防护网:华为Hisec Endpoint构建了完善的系统蓝屏防护网,梳理全量故障码,构建蓝屏故障模式库,测试专家通过故障注入、长稳、压测等多种方式全面覆盖可能出现的场景,实现模块级、组件级、特性级、产品级、生产环境级多层防护网,持续守护产品质量。
3.细粒度逃生通道:在运维过程中,借助按需降级的特性开关机制,所有基于框架的特性均可通过运维控制的方式,执行开关,实现故障场景可快速逃生,问题可排查与可降级。
没有网络安全,就没有国家安全。此次微软蓝屏事件所暴露的潜在风险让人无法忽视。如果未来发生有目的的网络攻击事件,将对关键基础设施、社会等构成巨大的威胁。因此,我们必须加强网络空间安全建设,提升防范能力,强化措施机制,以应对日益复杂的国际网络安全环境。
注:本文转载自华为安全,版权归作者所有
沪公网安备 31010702006392号