因CrowdStrike導(dǎo)致全球數(shù)百萬臺電腦藍屏宕機后，這家全球Top級網(wǎng)絡(luò)安全公司所面臨的慘痛代價正陸續(xù)體現(xiàn)。

7月19日，由CrowdStrike Falcon版本更新缺陷引發(fā)的系統(tǒng)崩潰波及全球超850萬臺Windows電腦，致使航班停飛、火車晚點、銀行異常，并且波及到了當(dāng)時還未開幕的巴黎奧運會服務(wù)系統(tǒng)。

截至目前，該事件給全球各行業(yè)帶來的陣痛仍未徹底消除，除了一些企業(yè)還未完全恢復(fù)，CrowdStrike持續(xù)下跌的股價與紛至沓來的各種訴訟表明，這已經(jīng)是一起足以載入史冊的重大網(wǎng)絡(luò)安全事件。

股價暴跌與集體訴訟

事發(fā)當(dāng)日，CrowdStrike美股盤初股價一度大跌14%，收跌11.1%，報每股304.96美元，市值一夜蒸發(fā)近百億美元，創(chuàng)2022年以來最差單日表現(xiàn)。在隨后的9個交易日內(nèi)，CrowdStrike股價大跌32%，截至當(dāng)?shù)貢r間8月5日收盤，這家曾一度接近千億美元的網(wǎng)安巨頭股價已累計下跌超40%，市值已累計蒸發(fā)超250億美元。

當(dāng)?shù)貢r間8月5日，CrowdStrike股價已跌至每股222.05美元

華爾街也紛紛下調(diào)CrowdStrike的股價，杰富瑞將CrowdStrike目標(biāo)價從400美元下調(diào)至300美元。投行Needham將CrowdStrike目標(biāo)價從425美元下調(diào)至375美元。

伴隨著股價暴跌，該公司也面臨來自投資者及受害企業(yè)的訴訟。投資者認(rèn)為，CrowdStrike對公司產(chǎn)品的可靠性存在重大虛假和誤導(dǎo)性陳述，隱瞞了關(guān)鍵信息，對他們構(gòu)成了欺騙。目前，投資者已在德克薩斯州奧斯汀聯(lián)邦法院提起了集體訴訟。

達美航空公司要求CrowdStrike賠償因服務(wù)癱瘓造成的損失，稱故障在5天時間內(nèi)影響了數(shù)千個航班，數(shù)十萬旅客被迫滯留，帶來的損失達5億美元，并表示CrowdStrike只提供了“免費的咨詢建議來幫助我們“。

藍屏宕機事故波及全球下游企業(yè)

由于CrowdStrike被全球眾多企業(yè)采用，此次事故受災(zāi)范圍之廣、受害程度之深為近年罕見。

對交通運輸業(yè)而言，由于航空系統(tǒng)高度復(fù)雜，不少航司在此事件中受創(chuàng)嚴(yán)重，甚至需要幾周時間才能完全恢復(fù)。據(jù)報道，事發(fā)后，達美航空、聯(lián)合航空和美國航空在內(nèi)的幾家主要美國航空公司的所有航班在當(dāng)天早上被迫停飛，僅達美航空一家航司在幾天內(nèi)就總計取消了將近6300個航班。在鐵路方面，英國最大的鐵路運營商GTR稱面臨技術(shù)問題；西日本旅客鐵道公司列車行駛位置信息因Windows系統(tǒng)故障導(dǎo)致無法獲取。

宕機事故也給制造業(yè)帶來停工危機，一些制造業(yè)巨頭報告稱，其生產(chǎn)線因為關(guān)鍵系統(tǒng)的癱瘓而被迫停工。根據(jù)媒體報道，特斯拉工廠多條產(chǎn)線因故障導(dǎo)致設(shè)備開始報錯，位于奧斯汀、德克薩斯和內(nèi)華達的超級工廠不得已讓部分工人提前下班，特斯拉CEO馬斯克揚言要在所有系統(tǒng)中全部刪掉CrowdStrike軟件，并配上了一張“火燒CrowdStrike機房”的AI生成圖片。

馬斯克炮轟CrowdStrike并附上一張“火燒CrowdStrike機房”的AI生成圖片

在其他領(lǐng)域，小至地方超市收銀系統(tǒng)，大至倫敦交易所也受到影響導(dǎo)致服務(wù)異常或暫停，就連巴黎奧運會系統(tǒng)也被波及，奧組委表示CrowdStrike問題影響了奧運會證件的激活流程，因此激活服務(wù)將暫停。

曾經(jīng)的全球網(wǎng)安一哥，風(fēng)光無限

公開資料顯示，CrowdStrike是全球知名的下一代終端安全廠商。公司成立于2011年，CrowdStrike 成功將最先進的端點保護與云端專家情報相結(jié)合，不僅可以掃描追溯惡意軟件，還可以確定攻擊者本身。CrowdStrike 和全球數(shù)十家著名企業(yè)組成技術(shù)合作伙伴，為網(wǎng)絡(luò)安全行業(yè)提供實時的更新和防護。

CrowdStrike 2012年—2013年推出拳頭產(chǎn)品威脅情報服務(wù)Falcon X及終端檢測與響應(yīng)(EDR)產(chǎn)品 Falcon Inshight，并在2017年迅速豐富終端安全產(chǎn)品線，先后發(fā)布下一代防病毒、IT資產(chǎn)管理系統(tǒng)、惡意軟件搜索、漏洞管理、沙箱及端點設(shè)備控件等 多個產(chǎn)品模塊，且于2019年推出PaaS安全平臺CrowdStrike Store，構(gòu)建了終端安全產(chǎn)品+威脅情報服務(wù)+專家服務(wù)，SaaS+PaaS的完整安全生態(tài)。

由于抓住了AI+網(wǎng)絡(luò)安全的重要發(fā)展機遇，CrowdStrike的市值在2024年6月達到了950億美元，逼近千億美元大關(guān)，成為繼Palo Alto Networks之后第二家市值突破千億美元的純網(wǎng)絡(luò)安全廠商，這一成就標(biāo)志著CrowdStrike在全球網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)地位。CrowdStrike的市值增長和其在網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)領(lǐng)先地位，使其成為全球網(wǎng)絡(luò)安全公司市值首位“寶座”的常客。公司的產(chǎn)品和服務(wù)被包括微軟、亞馬遜AWS在內(nèi)的一些最大的云服務(wù)公司提供商所使用，也包括主要的全球銀行、醫(yī)療保健和能源公司。

旗下拳頭產(chǎn)品Falcon為176多個國家的客戶提供端點安全、威脅情報和事件響應(yīng)服務(wù)，每天搜集和分析全球超過300億終端事件。通過云原生架構(gòu)和集成的XDR解決方案，F(xiàn)alcon在終端安全領(lǐng)域展示了技術(shù)領(lǐng)先性。該平臺通過眾包數(shù)據(jù)策略和AI驅(qū)動的分析引擎，實現(xiàn)了對客戶數(shù)據(jù)的深度學(xué)習(xí)和應(yīng)用，這不僅提升了安全防護的精準(zhǔn)度，也極大地增強了客戶黏性。具體來說，F(xiàn)alcon平臺采用的是云端與用戶端點相結(jié)合的體系架構(gòu)，主要由Falcon Sensor、Falcon Management Console、Threat Graph、Falcon APPS、Falcon APIs等模塊組成。Falcon Sensor部署在用戶端點，其他模塊位于Falcon Cloud端。

（1）Falcon Sensor模塊：CrowdStrike公司在Falcon平臺中設(shè)計了一個代理（Agent），它是一個輕量化的傳感器，部署在用戶環(huán)境中。這個傳感器不僅能夠阻止已知特征的惡意攻擊，還可以阻擋未知惡意攻擊，同時記錄所有相關(guān)端點的活動信息，以保證可以清楚的了解環(huán)境中的每一個環(huán)境。

（2）Threat Graph模塊：具有強大的圖形分析能力，并關(guān)聯(lián)Crowd Strike全球客戶數(shù)十億的安全事件。它存儲于分析海量（達到PB級）的歷史資料，使用先進的算法與智能處理來檢測“一切未知的事件”。

（3）Falcon APIs模塊。CrowdStrike針對其平臺架構(gòu)提供非常豐富的API接口讓其他企業(yè)能夠基于既有的安全架構(gòu)來整合其他網(wǎng)絡(luò)安全防護系統(tǒng)（例如：SIEMs, IPS/IDS...等）。

（4）Falcon Management Console模塊：Falcon Management Console接口通過管理界面提供對所有事件的完整信息以及圖表，及時的警報和詳細(xì)的搜索功能。

（5）Falcon APPS模塊：FalconAPPS模塊具備網(wǎng)絡(luò)安全防御、端點防護與響應(yīng)、主動防御威脅事件等能力。

彼時的CrowdStrike真可謂是風(fēng)光無限，卻不知危險已經(jīng)隱藏在繁榮的陰影之中。

缺乏敬畏心，CrowdStrike跌下神壇

也許誰都沒有料到，CrowdStrike自創(chuàng)立以來面臨的最大危機竟來的如此突然。一家曾經(jīng)全球市值第一的網(wǎng)安一哥，最終因為一次安全事件而跌下神壇，這不得不說令人感到惋惜。

根據(jù)事后發(fā)布的最新調(diào)查結(jié)果，是由于一個關(guān)鍵的漏洞存在于CrowdStrike用于驗證系統(tǒng)更新準(zhǔn)確性的質(zhì)量控制工具中，導(dǎo)致在更新推送時被錯誤地推送至了用戶終端。

美國高科技技術(shù)研究和咨詢公司未來集團（The Future Group）指出，這并非一次純粹的網(wǎng)絡(luò)安全事件，而是一個補丁更新管理不善導(dǎo)致大范圍破壞的問題。

換言之，CrowdStrike此次中斷事件中最嚴(yán)重的問題不是技術(shù)問題，而是內(nèi)部流程存在大問題，即在軟件彈性和測試、快速響應(yīng)內(nèi)容部署以及第三方驗證方面的缺失，而更層次地原因是，越來越多的榮譽和越來越高的市值，讓CrowdStrike公司內(nèi)部對安全的敬畏心正在消失。

有時候安全就是這樣令人難以捉摸，在事故發(fā)生之前，這不過是CrowdStrike公司一次再正常不過的軟件更新，和之前的每一天都一樣。但就是這樣平常的一天，給網(wǎng)安一哥當(dāng)頭一棒，從此走下神壇。

可見，安全大廠的光環(huán)隨時可能破滅，尤其是關(guān)乎每一臺電腦的基礎(chǔ)安全軟件，任何紕漏都可能釀成難以預(yù)估的災(zāi)難性連鎖反應(yīng)。對于安全廠商而言，CrowdStrike 引發(fā)的大規(guī)模宕機事件說明，在保證產(chǎn)品服務(wù)質(zhì)量的同時，科學(xué)的部署流程正變得越發(fā)重要，確保在進行更大規(guī)模或全面部署前不會產(chǎn)生服務(wù)、兼容性、安全性或其他問題。

安全沒有止境，作為網(wǎng)安廠商更是需時刻保持警覺和敬畏，當(dāng)我們逐漸習(xí)以為常、放松警惕之際，也許正是巨雷緩緩形成之時。