CrowdStrike 内容更新事件分析及影响

关键要点

CrowdStrike 于 2024 年 7 月 19 日推出的内容更新导致全球多个行业的组织遭受了干扰。该事件不是由 CrowdStrike 的安全事件或网络攻击引起的，但其影响显著，属于网络安全失误。受影响的主要是使用 Windows 设备的组织，Linux 和 macOS 设备未受到影响。CrowdStrike 已识别并撤回相关更改，并向客户提供了修复指南。Sophos 客户未受到此事件的影响，但少部分使用 Sophos XDR 传感器的客户可能受到影响。

2024 年 7 月 19 日，CrowdStrike 向其在 Windows 设备上运行 Falcon 终端代理的客户推出了一次“内容更新”，导致全球多个行业的组织遭到影响，包括旅游、银行、医疗保健及零售行业。

网络犯罪分子通常利用大规模干扰和事件作为机会来欺骗受害者。在这篇文章中，我们将阐明 Sophos 对此次事件的理解，并回答客户和合作伙伴的关键后续问题。

我们在网络安全领域的所有公司，包括 Sophos 和竞争对手，目标都是保护组织免受攻击。虽然我们在商业舞台上相互竞争，但我们最重要的是作为一个社区，团结对抗网络犯罪分子这个共同敌人。我们在此向 CrowdStrike 表达支持，并祝愿每一个受影响的组织快速恢复正常。

火烧云梯子

网络安全是一个极其复杂且快速发展的领域。Sophos 的首席执行官 Joe Levy 在 LinkedIn 上表示：“对于我们这些在内核中生存的人来说，这种情况可能在某个时候发生过，无论我们采取了什么预防措施，我们永远不会100免疫。”

事件概述

事件描述详细信息影响来源此次事件并非由于 CrowdStrike 的安全事件引起的，也不是网络攻击。可用性影响尽管不是安全事件，然而网络安全涵盖保密性、完整性和可用性，此事件明显影响了可用性，因此可以称之为网络安全失误。问题表现该问题导致 Windows 机器出现蓝屏死机BSOD，这是由于向 CrowdStrike 客户推出的产品“内容”更新所致。受影响设备运行 CrowdStrike Falcon 代理的 Windows 计算机和服务器可能受到影响，Linux 和 macOS 设备未受到此次事件影响。后续处理CrowdStrike 已识别出与此问题相关的内容部署，并撤回了那些更改。 修复指南 已经发给了 CrowdStrike 客户。

关于“内容”更新的说明

此次事件是一项典型的产品“内容”更新，属于众多软件供应商包括 Sophos需要定期进行的更新类型。

内容更新有时也被称为保护更新，这可以改善端点安全产品的保护逻辑及其检测最新威胁的能力。在此次情况下，CrowdStrike 的一次内容更新产生了重大未预见的后果。然而，没有任何软件供应商是万能的，这类问题可能并且确实会影响到其他供应商，无论行业。

CrowdStrike 的响应

CrowdStrike 在其网站上发布了官方声明并提供了修复指南。如果您受到此问题的影响或收到使用 CrowdStrike 的客户的咨询，请参阅 CrowdStrike 的官方页面：

https//wwwcrowdstrikecom/falconcontentupdateremediationandguidancehub/

保持警惕至关重要。网络犯罪分子正在注册可能恶意的域名字号占用并利用“CrowdStrike 修复”进行网络钓鱼活动，以试图利用受害者。如果您联系或被 CrowdsStrike 联系，请验证您是否与授权代表交谈。

Sophos 客户是否受到 CrowdStrike 事件的影响？

使用 Sophos 进行端点保护的客户，包括使用 Sophos XDR 或 Sophos MDR 的客户未受到影响。而少