白宫周五表示,美国总统乔·拜登(Joe Biden)听取了微软(Microsoft)正在进行的全球宕机事件的简报,该宕机与网络安全巨头CrowdStrike推出的更新有关。
该机构在最新消息中说,这一事件导致社会保障局办公室关闭了一天。虽然这些办公室中的大多数在周一重新开放,但多个州的个别办公室报告称没有亲自服务。根据一份事件报告,Login平台提供的身份验证服务在多个州出现中断。美国联邦通信委员会也表示,一些911服务已经中断。
影响全球银行、航空公司和其他重要服务的大范围宕机,是由这家网络安全公司在过去一天向Windows操作系统推送的一个缺陷更新造成的。CrowdStrike首席执行官乔治·库尔茨(George Kurtz)表示,这起事件不是网络攻击。
一名白宫官员说:“总统已经听取了有关CrowdStrike中断的简报,他的团队正在与CrowdStrike和受影响的实体保持联系。”“他的团队正在跨部门工作,全天了解各个部门的最新情况,并随时准备在需要时提供援助。”
国家安全委员会已经意识到了这一情况。在阿斯彭研究所(Aspen Institute)智库的年度安全论坛上,负责网络和新兴技术的副国家安全顾问安妮?纽伯格(Anne Neuberger)表示,她的一天是从“凌晨4点接到战情室的电话,强调CrowdStrike发生的问题”开始的,她一直在与公司领导层保持联系。
对联邦政府运作的影响程度尚不清楚。Crowdstrike在联邦机构中广泛使用,是政府范围内持续诊断和缓解网络安全支持服务合同的关键供应商。据GovTribe称,该公司与司法部、国务院和国土安全部签订了合同。GovTribe是政府执行母公司GovExec拥有的联邦市场情报平台。
这些问题涉及向使用该公司旗舰平台“猎鹰”(Falcon)的客户发送补丁。该平台通过将机载计算机系统与一套旨在瞄准和挫败恶意黑客攻击的CrowdStrike工具连接起来,作为一种阻止网络攻击的方法。
亨特斯实验室首席网络安全研究员、前国防部网络开发人员约翰·哈蒙德(John Hammond)说,恢复过程可能需要一段时间才能完成。
他在短信中告诉Nextgov/FCW:“每个部门和行业都受到了影响,不幸的是,恢复将是一个耗时的手动过程,横跨组织的服务器和工作站。”
“不幸的是,建议的缓解和恢复工作是一个非常手动的过程……它需要在计算机的物理位置手工完成,对于每一台受影响的计算机。这将是一个非常漫长而缓慢的恢复过程。”
五角大楼的一位发言人说,国防部“已经知道了这些报道,工作人员正在监控我们的网络,以防可能的影响。”出于运营安全考虑,我们不对网络运营、信息系统或评估网络威胁的运营状况发表评论。”
国防部在其企业中严重依赖微软产品,并计划在2025年6月之前完全迁移到微软365。
微软联邦部门的一位发言人没有立即回应置评请求。
该公司首席执行官萨蒂亚·纳德拉在X帖子中表示:“我们意识到了这个问题,正在与CrowdStrike和整个行业密切合作,为客户提供技术指导和支持,让他们的系统安全地重新上线。”
国土安全部在X平台上的一篇文章中说,国土安全部的网络安全和基础设施安全局正在“与CrowdStrike、微软以及我们的联邦、州、地方和关键基础设施合作伙伴合作,全面评估和解决系统中断问题。”联邦首席信息官的发言人没有立即回应置评请求。
一位不愿透露姓名的分析师表示,中钢协本身也受到了影响,因为他们不被允许提供有关中钢协系统内部状态的最新信息。
“由于CrowdStrike问题,其他组件的用户无法登录。IT支持已经忙得不可开交,无法帮助人们重新开始工作。”
同样在国土安全部,海关和边境保护局(Customs and Border Protection)周五下午晚些时候在Twitter上发布了一篇文章,称“由于全球技术故障导致处理延迟”。该机构表示,其自己的贸易和旅行应用程序,包括帮助寻求庇护者的全球入境移动应用程序CBP One,简化抵达和自动化商业环境都在运行。
围绕此次故障的一个谜是,CrowdStrike的系统在受影响的Windows操作系统中嵌入了多深。像CrowdStrike这样的第三方网络安全产品通常被固定在他们所服务的设备的核心操作平台上,以便全面了解试图破坏设备的潜在网络威胁。
该公司在一篇博客文章中指出,在升级过程中部署的一个特定文件应该在安全模式下删除。安全模式是一种以基本格式启动电脑操作系统的程序,可以帮助解决设备上的问题。
为达美航空(Delta)提供服务的一名安全架构师对事件的发生方式感到震惊。达美航空是一家受到宕机影响的航空公司。
“通常情况下,他们比这更好。目前,CrowdStrike是一家规模庞大的公司,”这位人士说。由于未获授权公开表达自己的观点,他要求匿名。“他们为什么要发布不成熟的更新?”
网络安全提供商ForAllSecure的策略师索格伦(Josh Thorngren)说,这起事件有点像一场完美风暴。
“CrowdStrike在全球保护了数百万台电脑,但为了做到这一点,它需要对这些机器的深层系统进行访问,”他在一封电子邮件中说。“这种深度访问意味着,当Crowdstrike出现漏洞时,它可能会削弱整个操作系统,就像我们今天看到的那样。”
该公司首席执行官克鲁兹在接受《今日秀》采访时表示,所有受影响的系统都需要一段时间才能恢复。他向所有受到影响的人道歉。
提供网络安全培训和证书的SANS Institute公司表示,黑客可能会利用这种混乱来推出虚假的更新,声称是CrowdStrike的支持。
“我们目前没有任何样本,但攻击者可能会利用媒体的高度关注。请小心任何可能以这种方式发送的‘补丁’,”该公司的研究主任约翰内斯·乌尔里希(Johannes Ullrich)说。
CrowdStrike被视为顶级网络安全服务巨头,因其现代端点保护技术和网络威胁报告而闻名,这些报告经常与情报界的秘密发现相呼应,但没有被保密限制的面纱所掩盖。据其网站介绍,该公司与数百家顶级公司和几乎所有美国州都有合作。
该公司因调查2016年民主党全国委员会(Democratic National Committee)可能受到俄罗斯授权的黑客攻击而成为头条新闻,俄罗斯情报界对该公司的调查结果持一致意见。
据X上的一个更新帖子称,截至周五下午,影响微软365服务的许多问题似乎已经得到解决,这些问题与微软Azure服务的另一起无关事件有关。
一位高级政府官员说,白宫一直在召集各机构评估对美国政府在全国各地的运作和实体的影响。拜登将继续收到有关此事的最新消息。
“目前,我们的理解是,全国各地的航班已经恢复运营,尽管仍然存在一些拥堵,911中心能够接收和处理电话,”这位高级政府官员说。“我们正在密切评估对当地医院、地面运输系统和执法部门的影响,并将在我们了解更多情况时提供进一步的更新。我们随时准备提供必要的援助。”
库尔茨在一篇X帖子中表示,该公司正在“进行技术更新和根本原因分析”,并将公开分享。
《防务一号》的劳伦·c·威廉姆斯对此报道也有贡献。这是一个正在进行的故事,并将更新。
