CrowdStrike全球蓝屏危机揭示：轻量级Agent才是你的首选

**

**

引言

今日，全球范围内的计算机用户遭遇了一场意外的蓝屏危机。这一事件被证实与CrowdStrike的软件有关，特别是其代理程序（csagent.sys）引发的系统崩溃，凸显了在网络安全领域选择可靠技术的重要性。

事件概述

2024年7月19日，CrowdStrike Falcon的Sensor更新后，其内核驱动文件csagent.sys导致了全球用户的Windows系统出现大规模的蓝屏现象。这一问题不仅影响了众多组织的正常运作，也暴露了在网络安全解决方案选择上的潜在风险。

技术分析

在终端软件检测中目前有常见的2种技术方案：内核态驱动方案、用户态应用方案。CrowdStrike Agent使用的是内核态驱动方案，青藤目前为止采用的是更加轻量、稳定的用户态应用方案。

技术对比

方面

内核态驱动方********案

用户态应用方案

深度监控

能监控到内核级别的活动

主要监控用户空间的活动

性能

高性能，低开销

性能稍低，开销稍大

开发复杂性

高，需要深入内核知识

高，需要兼顾功能与性能

兼容性

低，不同操作系统版本可能存在差异

高，不同操作系统版本之间兼容性较好

稳定********性

错误可能导致系统崩溃

稳定性高，错误不会影响系统整体稳定性

灵活性

低，需重启系统或内核模块

高，可动态调整和更新

技术的重要性

0****1

选择最好的技术

在这场突如其来的危机中，CrowdStrike Agent问题凸显了一个核心观点：在网络安全领域，Agent的稳定性至关重要。一旦出现问题，其后果可能是灾难性的。因此，用户必须选择经过严格测试、拥有高可靠性的安全解决方案。

0****2

重视产品质量

此次事件也提醒了所有组织，在选择网络安全产品时，不应仅仅考虑价格因素。低价购买的产品可能在技术上存在缺陷，一旦发生问题，其代价可能是无法估量的。客户应更加重视产品的技术实力和服务质量，以确保自身的网络安全。

0****3

国产化

在全球化的今天，网络空间已成为国家战略竞争的新高地。国产化不仅是提升国家网络安全自主可控能力的重要途径，也是解决"卡脖子"问题的关键。国产网络安全产品的研发和应用，对于保障国家关键基础设施的安全至关重要。青藤云安全作为国产网络安全的领军企业，其自主研发的安全产品已经在烟草、电网、运营商、大型央企国企、民航等多个国家关键领域得到广泛应用，为国家的网络安全和信息化建设提供了强有力的支撑。

**截至目前青藤已经服务超过1000多家各行各业的头部用户，800万台服务器供稳定、高效的安全防护。**目前为客户提供的都是无驱动Agent，这意味着我们的解决方案不依赖于内核驱动程序，从而大大提升了Agent稳定性。我们始终致力于提供最安全、最可靠的网络安全产品，确保客户的利益不受损害。

升级策略

在进行Agent的升级时，采取合理的更新策略至关重要，以确保升级过程既安全又高效。以下是针对Agent升级的一些建议策略：

· 闲时更新（Off-Peak Updating）

安排在系统使用率较低的时段进行更新，如夜间，以减少对用户日常工作的影响。

利用自动化工具监控系统负载，并自动选择最佳更新时间。

· 灰度更新（Canary Releasing）

灰度更新是一种逐步推出更新的策略，先在小范围内部署更新，然后逐渐扩大到更多用户。

这种方法可以降低新版本可能带来的风险，通过监控小范围更新的效果来评估更新的稳定性和性能。

· 分阶段部署（Phased Deployment）

将更新过程分为几个阶段，每个阶段针对不同的用户群体或系统环境。

初始阶段可能只针对内部测试环境或一小部分用户，确保更新无误后再全面推广。

·自动化测试（Automated Testing）

在更新前，通过自动化测试来验证新版本的兼容性和功能性，确保不会引入新的问题。

· 回滚计划（Rollback Plan）

准备一个详细的回滚计划，以便在更新出现问题时能够迅速恢复到之前的稳定版本。

· 用户通知（User Notification）

在更新前，通过适当的渠道通知用户更新的时间、内容和可能的影响，确保用户做好准备。

结语

网络安全是每个组织不可或缺的一部分，而选择正确的技术解决方案则是确保网络安全的第一步。在这个数字时代，**安全不仅仅是一个技术问题，更是一个业务问题。安全的重要性不言而喻，但业务的连续性和效率同样至关重要。**因此，青藤致力于提供不仅安全，而且对业务影响最小的解决方案。我们将继续以最高标准，为客户提供无懈可击的安全防护，同时确保业务流程的顺畅和高效。

-完-