CrowdStrike 中断时间线、分析与影响

  • 事件概述:2024 年 7 月 19 日,CrowdStrike 因 Windows 系统传感器配置更新出错导致全球系统崩溃和蓝屏,影响约 15%-20%的系统和组织,约 850 万设备受影响,涉及航空、医疗和金融等多个行业,Delta 航空公司仍在恢复中。CrowdStrike 与微软合作提供修复步骤,受影响机器需手动删除故障.sys 文件。
  • Bitsight 调查:Bitsight 利用其多样数据集和能力,研究此次事件。通过查看 CrowdStrike 相关 IP 地址的流量样本,发现每日新连接 CrowdStrike Falcon 服务器的唯一 IP 数量快速下降,确认 Falcon 代理的频繁更新请求。观察数据包和字节数,发现 7 月 16 日左右有流量峰值,7 月 19 日有下降。独特 IP 数量在 7 月 16 日 22 点左右有尖峰,之后下降,周末也有类似下降,且组织数量也有类似下降。
  • 结论:从数据角度看,7 月 16 日 22 点有流量尖峰后出流量下降,7 月 19 日后连接 CrowdStrike Falcon 服务器的唯一 IP 和组织数量下降 15%-20%。虽不能推断 16 日流量模式变化的根本原因,但引发对 16 日观察与 19 日出事的相关性疑问,全球组织应注重技术卫生,系统管理员应尽快修复服务器。
阅读 7
0 条评论