CrowdStrike錯誤更新導致全球范圍Windows藍屏事件已經發酵數日，該事件被業內人士看作是“歷史上最大規模系統崩潰事件”，震驚了整個世界。

這次事件并非是某個國家級黑客組織或大師級黑客的杰作，而是CrowdStrike更新文件的一個錯誤，導致包括機場、銀行、政府甚至緊急服務在內的大量關鍵基礎設施系統因藍屏死機而癱瘓。

以下是安全專業人士從這次事件中可以汲取的五點重要教訓。

1.無需幸災樂禍，警惕害群之馬

Crowdstrike大規模系統崩潰事件是過去幾天最熱門的聊天話題之一，IT和安全專業人士們熱衷轉發表情包嘲諷該公司犯下的愚蠢錯誤，但請記住，下一個出現在熱搜的可能就是你供職的公司。

隨著平臺化和云化的深入，網絡安全市場的市場集中度不斷提高，任何一次失誤都可能引發全球性的連鎖反應。公有云的幾次重大停機事故已經引發了全球性的“下云運動”，網絡安全行業需要反思如何緩解過度集中化的風險，避免單個企業的失誤對整個行業造成毀滅性的打擊。

2.網絡攻擊還是意外？

CrowdStrike的官方聲明否認該事件是“網絡安全事件”或者“網絡攻擊”。但是網絡安全的一個關鍵原則是可用性，從手段和結果來看，對于CIO和CISO來說，這次事件顯然與一次大規模的網絡攻擊沒有什么區別（無需支付贖金，但恢復工作仍然極為痛苦）。

“一遭被蛇咬十年怕井繩”，此次事件后，相信大量CIO都會對EDR終端代理感到緊張。網絡安全行業的其他企業可能會是該事件的最大受害者，網絡安全企業與客戶之間的基本信任已經被擊碎。現在，CISO們需要為服務器和終端上運行的每個安全解決方案重新辯護。接下來的幾周和幾個月里，CISO們和安全供應商之間將會有很多艱難的對話。

3.立即對威脅模型進行評估

過去幾天經常會看到這樣的膚淺言論：“我們用的是Macbook，所以躲過了一劫”或“我們不用CrowdStrike，謝天謝地！”“我們是中資企業，所以不受影響，哈哈哈。”要知道，今天出事的是網絡安全巨頭CrowdStrike，明天可能就是其他更拉垮的草臺班子。

現代IT環境是由各種軟件代理和廠商產品混合而成，單點故障幾乎不可避免。評估這種情況時，我們需要捫心自問：如果我的所有Windows服務器和終端都癱瘓了會怎樣？我們能轉向基于云的服務嗎？我們有其他可用的終端代理嗎？可以肯定的是，網絡犯罪分子已經看到了這次停機事件造成驚人損失，并在思考如何從中獲利（最常見的操作是冒充修復工具或漏洞補丁的網絡釣魚攻擊）。

4.檢查你的補丁管理流程

永遠不要在周末前或周末期間打補丁。在打補丁時，分階段進行，而不是批量更新。可以想象，全球數百萬IT支持人員會無法理解CrowdStrike這種頭部企業居然會忽視這些最基本的流程。

即使微軟和Crowdstrike發布了修復程序和指南，但手動修復方式對于管理成千上萬臺服務器/終端的IT團隊來說依然是一場噩夢。再加上大多數使用CrowdStrike的公司已經加密了他們的服務器（例如Bitlocker），這讓恢復工作的痛苦指數進一步上升。更不用說，基于云的服務器不能簡單地進入安全模式進行修復；你必須分離存儲，修復它，然后重新連接。這將是對公司災難恢復流程的巨大考驗。幸運的是，已經有許多可用的自動化腳本發布，大大提高恢復流程的效率。

如果你所在的（網絡安全）公司經常發布補丁，現在是重新評估補丁管理實踐的好時機！永遠不要在周末打補丁，如果必須這樣做，請采用分階段的灰度更新方法，確保能隨時回滾到安全狀態。

5.重新審視你的軟件供應鏈

軟件供應鏈是網絡安全最大的盲點之一，業界對開源代碼或網絡安全企業自身的產品安全往往重視不足。事實上，沒有任何軟件是100%從頭開始制作的，大多是各種軟件代碼庫和依賴關系的混合體。即使你無法剔除這些依賴關系，至少可以深入了解你所擁有的代碼資產及其風險狀況。

要知道，與監控并掌管全球數億設備的EDR/XDR軟件市場相比，Crowdstrike事件只是冰山一角。此外，開源供應鏈攻擊和AI大模型數據泄漏的規模和損失可能會超出你的想象，任何企業，無論是軟件供應鏈的上游還是下游企業，都需要為此類風險做好預案和防御措施。