i卡會員

上周五全球經歷一場規模史無前例的電腦大當機，導致世界各地航空公司、銀行、醫院和緊急服務機構螢幕出現可怕的「藍屏死機」。

總部位於德州奧斯汀的網路安全公司CrowdStrike是此次微軟當機事件的元凶。該公司為微軟的Windows設備提供防毒軟體，從銀行業到零售業再到醫療保健等全球性產業，都用該公司的軟體來防範漏洞和駭客攻擊。

CrowdStrike成立於二○一一年，業務遍及一百七十多個國家，擁有約二點九萬名客戶，截至四月當季營收超過九億美元。它是一家所謂的「端點安全」公司，使用雲端技術對連接到網路的裝置套用網路保護。這與其他網路公司使用的替代方法不同，一般網路公司是直接對後端伺服器系統進行應用保護。

ＩＴ安全公司Sectigo技術長Nick France表示：「許多公司都使用CrowdStrike軟體，並將其安裝在內部所有機器上。」「因此，當軟體更新發生問題時，就會導致機器一再空轉，讓人們無法使用 。」

這次當機並非微軟的Windows直接缺陷，而是引發此問題的Falcon。

Falcon以Windows核心程式掛接到微軟Windows作業系統，擁有很高的權限，以便跨作業系統即時監控操作。這次Falcon感測器更新至七點一一以上版本時出現邏輯缺陷，是導致當機的主因。由於CrowdStrike的Falcon與微軟的Windows核心緊密整合，導致Windows系統崩潰和「死亡藍屏」。

Falcon的缺陷存在於感測器更新中。這個感測器總是不斷更新，有時每天不只一次，以為使用者提供即時緩解和威脅保護。

有缺陷的更新包含在CrowdStrike稱為「通道檔案」的檔案中，該檔案專門提供行為保護的設定更新。這次出包的「通道檔案二九一」是一個更新檔案，主要是協助改進Falcon在Windows上評估命名管道執行的方式。而在「通道檔案二九一」中，CrowdStrike無意中引入邏輯錯誤，導致Falcon感測器當機，隨後導致整合該感測器的Windows系統崩潰。進而使數百個機場作業停擺，醫院預約中止，現場新聞轉播被掐斷。

這次軟體更新缺陷幾乎立即滲透到全球微軟系統，是因為Windows三六五雲端電腦、應用程式和服務大多採用CrowdStrike安全軟體。

CrowdStrike的Windows當機事件凸顯現代社會嚴重依賴科技的脆弱性。雖然系統備份和自動化流程至關重要，但採用手動程序可以顯著強化技術中斷期間的業務連續性。企業可採取一些措施以更能應對科技當機。

首先，在應用到生產之前測試所有更新。多年來，允許自動更新以確保系統始終保持最新狀態一直是最佳作法。然而，CrowdStrike事件揭露這種方法的潛在風險。對任務關鍵型系統，在應用前測試更新或在將更新推送到生產前，擁有某種形式的暫存環境可能有助於減輕一些風險。

其次，開發並記錄手動解決方法。如此可確保關鍵業務流程即使在技術故障時也能持續進行，且在發生當機時可以作為後備方案。記錄和練習手動程式可幫助減輕當機的影響，確保企業即使在中斷期間仍然可以運作和服務客戶。

最後，執行災難復原和業務連續性規劃。這項工作的一部分應包括使用備援系統和基礎設施，以最大限度地減少停機時間，並確保關鍵功能可在需要時切換到備援系統。