CrowdStrike：基于eBPF的端点安全警钟

eBPF 程序的沙箱性质确保了安全问题的影响范围有限，降低了系统大范围受损的风险。

译自 CrowdStrike: A Wake-Up Call for eBPF-Based Endpoint Security，作者 Manas Chowdhury。

最近的 IT 故障导致 850 万台计算机瘫痪，影响了数百家企业，包括航空公司、医院、零售、媒体等。

在经历了数小时甚至一两天蓝屏之后，每个行业领导者心中的问题是：如何让您的计算机免受类似“黑色星期五”的攻击？

让我们看看导致组织遭受负面影响的三个根本原因，以及他们可以采取哪些措施来保护自己免受网络攻击和类似的安全问题。

关键要点：

7 月 19 日停机事件的根本原因包括高度过时的架构、测试不足和市场高度集中。
与传统的内核驱动程序相比，eBPF 技术提供了一种更安全、更具弹性的端点安全方法。
专家表示，这次 IT 故障是实施高级网络安全基础设施的警钟。

发生了什么？

CrowdStrike 是一家为数百万台 PC 提供网络攻击保护的安全软件公司，最近发布了一个有缺陷的传感器配置更新。

这导致其平台 Falcon 的传感器版本 7.11 及更高版本出现错误，原因是配置更新中的错误，称为“通道文件”。这个特定文件，编号为 291，旨在通过改进 Falcon 检查 Windows 上某些进程的方式来增强安全性。

然而，更新中的逻辑缺陷导致 Falcon 崩溃，进而导致 Windows 系统因 Falcon 与 Windows 内核的紧密集成而出现蓝屏死机 (BSOD)。

该更新位于文件 291 中，时间戳为 2024-07-19 0409 UTC。CrowdStrike 迅速修复了该问题并于 0527 UTC 发布了新版本，但许多系统已经更新到有缺陷的版本，导致全球系统故障。

IT 故障背后的根本问题

表面上看，这似乎是 CrowdStrike 方面的一个简单错误。然而，这一事件表明了我们数字基础设施中更深层的漏洞。

为了防止此类停机事件再次发生，企业领导者必须了解导致停机的三个根本问题：

1. CrowdStrike 高度过时架构的固有挑战

传感器更新期间部署新内核驱动程序失败导致了停机。内核驱动程序是操作系统的核心。它们管理重要的系统资源并与硬件紧密交互。

开发内核驱动程序很复杂，因为它们必须与低级系统组件交互并管理硬件。即使代码中的微小错误也会产生连锁反应，导致系统范围的问题。随着需要确保跨不同硬件配置和操作系统版本的兼容性，复杂性会加剧。这就是为什么像 CrowdStrike 这样的第三方软件完全访问内核是一个很大的风险。

虽然最近的事件是由于错误的更新造成的，但我们不能确定任何直接访问内核的软件都不会被入侵。将来，攻击者可能会利用此软件未经授权访问系统资源或数据。

大型组织的风险因其需要遵守法规和控制其数据的需求而加剧。许多组织因不遵守 GDPR 等法规而面临巨额罚款，这些法规可能导致高达全球年收入 4% 的罚款。对于像苹果这样的公司来说，罚款可能高达 150 亿美元。由于这些合规风险，此类组织无法依赖第三方 SaaS 部署来处理其关键数据。这是许多大型客户更喜欢本地安全解决方案的原因之一。

替代方案是什么？

一种很有前景的替代方案是 eBPF（Extended Berkeley Packet Filter），它比传统的内核驱动程序具有多个优势。

eBPF 程序在内核内的沙箱环境中运行，与传统的内核驱动程序相比，显着降低了系统不稳定或崩溃的风险。

2. 马虎的测试和发布流程

最近的 IT 故障表明，我们距离混乱只有一步之遥。在这种情况下，错误在于测试和发布流程不足。

Steve Cobb，Security Scorecard 的首席安全官，其系统受到影响，表示：“看起来可能是他们在查看代码时进行的审查或沙箱测试。也许这个文件 somehow 没有包含在其中或漏掉了。”

专家强调了分阶段推出更新的重要性。Huntress Labs 的首席安全研究员 John Hammond 在接受路透社采访时表示：“理想情况下，这应该首先在有限的范围内推出。”“这是一种更安全的方法，可以避免像这样的大规模混乱。”

如果您使用的是第三方服务提供商，请确保它采用彻底的强力测试和沙箱实践。确保它提供仔细的代码审查和对新威胁的快速响应，以避免像最近的停机事件那样造成重大中断。

3. 市场集中度

Raw Reporting 在 X 上提到了 CrowdStrike 产生如此全球影响的原因，指出它获得了 298 家财富 500 强公司和 538 家财富 100 强公司的信任，在美国 50 个州中的 43 个州拥有市场。

Lina Khan，联邦贸易委员会主席周五在推特上表示：“如今，一个简单的故障往往会导致系统范围内的停机。这些事件表明集中度如何会导致脆弱的系统。”

大型组织由于需要确保对数据的严格控制并遵守全球法规，应考虑将其网络安全解决方案多元化，以避免如此广泛的影响。本地解决方案提供了一种保持这种控制的方法，因为它们符合许多组织严格的内部授权和合规程序。

为什么要使用 eBPF？

为了应对传统安全工具带来的风险，组织应考虑使用 eBPF。与传统的内核模块不同，eBPF 以更安全、更可控的方式运行。

以下是 eBPF 成为安全方面更好替代方案的原因：

最小的内核访问权限：eBPF 在内核中运行在一个沙箱中，因此不太可能导致系统崩溃或不稳定。
动态跟踪：它提供对系统事件和性能的实时跟踪，而无需传统代理的沉重负担。
高效监控：eBPF 使得从各种系统事件中收集和处理数据变得容易，而不会减慢您的端点速度。
可扩展性：其轻量级设计意味着您可以轻松地将其部署到大型网络中，使其非常适合大型组织。通过切换到基于 eBPF 的安全，与传统方法相比，您可以获得更好的安全、更流畅的系统性能和更少的麻烦。

实时阻止攻击

AccuKnox 的基于 eBPF 的云原生应用程序保护平台对那些已经使用传统内核访问方式集成安全软件的组织来说具有明显的优势。

eBPF 程序的沙箱性质确保即使出现安全问题，其影响也会被控制，从而降低系统范围内的安全漏洞风险。与在攻击发生后才采取行动的工具不同，由运行时 Kubernetes 安全引擎 KubeArmor 提供支持的 AccuKnox 可以实时阻止攻击。