WINDOWS蓝屏这件事看起来草台，细想又可怕

卡爹

完先生 发表于 2024-7-20 16:21
只能说是爱更新的朋友有福了

EDR的更新不是由用户控制的

カドモン

yuialon 发表于 2024-7-22 14:37
你搞混了一点
tiktok 属于互联网产业，it业这种上了年纪苦逼产业可不敢高攀

哥哥
安防指的是大华海康这种，这类企业一般叫网安

安全公司十年做到大体量还好吧
长亭 14 年
qax 14 年
安恒 07 年
亚信 也是 14年
青藤云  14年

spf54321

LHO 发表于 2024-7-22 13:58
啊. 牛是啥意思, 是什么新梗么?

炒作东大网络攻击西大, 不是一直是西大政客热衷的话题么, 不新鲜, 前两 ...

“我真有一头牛”

卡爹

Ik4ruga 发表于 2024-7-21 09:10
现在很多人反应都是有问题的,
比如说牢美想监控完全可以通过linux的selinux模块, 这个软件它限制出口又只 ...

可能是因为牢美真的监控盟友吧

憂鬱臺灣烏龜

zhjh93 发表于 2024-7-21 02:10
现在个人杀软有推荐的吗？我用的还是诺顿，还有2年左右到期。

使用avira超过10年，感觉这东西还是靠谱的。

EXPOSE

qqq2142 发表于 2024-7-20 15:06
一眼丁真的玩意用得着阴谋论？
市面上这么多家做EDR的方案，为什么会选择一家只有13年历史的公司？是他们 ...

这其实和国内套路一样，为什么默认用深信服，为什么偏好华为等等。

糟糕喵

楼上还是有不少人没意识到这东西的影响范围有多大。微软只是这次事件发生的平台而已，这种事情完全可以发生在 linux 和 macos 上，只要你有安全软件的需要，特别是交给第三方进行安全服务的。

如何给与第三方权限，还是有很多要注意的，这次这种全权交与对方的模式实在太过糊逼。

アコ

国产系统快点推进吧，这次属实哈人了

新世纪复阴战士

卡爹 发表于 2024-7-22 14:53
EDR的更新不是由用户控制的

是的，EDR这傻逼东西属于谁用谁知道，属于让别人常态化监管你的系统了

qqq2142

EXPOSE 发表于 2024-7-22 16:59
这其实和国内套路一样，为什么默认用深信服，为什么偏好华为等等。

这没什么问题对吧
我在xx局上班，我公司有深信服 我觉得很正常
打个比方
日本罗森便利店里面安装深信服 我觉得不可思议

—— 来自 鹅球 v3.0.87-alpha

raimouse

新世纪复阴战士 发表于 2024-7-22 17:18
是的，EDR这傻逼东西属于谁用谁知道，属于让别人常态化监管你的系统了

但是好笑的是各路网友总觉得公司装这个不是为了监控，只是单纯杀毒
不过网上讨论只需要屁股，不需要脑子就是了

fsckamui

泰坦失足 发表于 2024-7-20 13:52
Windows给第三方安全软件的权限的确有问题，但是Crowdstrike也不是微软默认强制安装的软件啊。 ...

微软不强制 但是美国政府“推荐”，你不装这个 美帝体系很多玩法不让你参加

Benighted

الطائر 发表于 2024-7-22 04:12
是间接分析，其他内容都只是科普。

你说推上那ZachVorhies的分析？早就被喷是不懂装懂了，具体debunking见 x.com/taviso/status/1814762302337654829
还是看CrowdStrike自己的事故分析吧，跟什么空指针没关系

https://www.crowdstrike.com/blog ... -technical-details/

Technical Details
On Windows systems, Channel Files reside in the following directory:

C:\Windows\System32\drivers\CrowdStrike\

and have a file name that starts with “C-”. Each channel file is assigned a number as a unique identifier. The impacted Channel File in this event is 291 and will have a filename that starts with “C-00000291-” and ends with a .sys extension. Although Channel Files end with the SYS extension, they are not kernel drivers.

Channel File 291 controls how Falcon evaluates named pipe1 execution on Windows systems. Named pipes are used for normal, interprocess or intersystem communication in Windows.

The update that occurred at 04:09 UTC was designed to target newly observed, malicious named pipes being used by common C2 frameworks in cyberattacks. The configuration update triggered a logic error that resulted in an operating system crash.

Channel File 291
CrowdStrike has corrected the logic error by updating the content in Channel File 291. No additional changes to Channel File 291 beyond the updated logic will be deployed. Falcon is still evaluating and protecting against the abuse of named pipes.

This is not related to null bytes contained within Channel File 291 or any other Channel File.

Benighted

卡爹 发表于 2024-7-22 14:41
EDR 为安全团队提供所需的可见性和自动化，以便加快事件响应并阻止对终结点的攻击进一步传播。它们用于：
...

EDR关注的是系统进程、服务的异常行为，比如执行了powershell敏感命令，访问系统重要文件，主要目的是监测APT组织的高风险入侵，至于测员工上什么网发了什么文件那是DLP类产品的工作，只不过有的公司会提供合成在一个端点agent里的解决方案

無始無終

糟糕喵 发表于 2024-7-22 17:01
楼上还是有不少人没意识到这东西的影响范围有多大。微软只是这次事件发生的平台而已，这种事情完全可以发生 ...

Linux今年早些时候就发生过，Debian/Rocky/红帽都有报道系统被CrowdStrike搞崩了
但mac可能性要低的多，苹果不开放内核态权限给安全软件厂商

—— 来自 S1Fun

macos

但泼脏水对普通群众很有用，能看懂事情的都少数了

查克海耶斯

现在都要求主动防御，没有足够的权限如何做主动防御？

Midnight.Coup

糟糕喵 发表于 2024-7-22 17:01
楼上还是有不少人没意识到这东西的影响范围有多大。微软只是这次事件发生的平台而已，这种事情完全可以发生 ...

还是不太一样，Linux 的几次是不兼容/内核有 Bug 导致的，而且 Linux 上两边都是用户手动更新 Linux 内核以及其他软件然后发生的，发生的时间也不一致，怎么说呢，在服务器里少见但作为 Linux 桌面用户，这种事情就是家常便饭了，隔壁 Arch Linux 还有 pacman -Syyu 然后系统炸了的自嘲梗。macOS 那边以 arm 版的限制力度，除非关闭 SIP 加 authenticated-root，不然连修改系统文件都做不到。
但 Windows 这个驱动机制，加上 CS 不怎么测试就直接推送更新的做法，才能爆的如此快且统一，当然无论哪个平台 CS 还是全责，烂代码还不兼容都是他们写的

螺纹

国产系统有兴趣可以搞个统信或者银河麒麟试用版放虚拟机里玩，真机设备自己花钱就算了太贵了没必要
单纯办文没问题，有wps的四件套（docx/pptx/xlsx/pdf）和数科ofd就行了，输入法搜狗可拼音可五笔，微信都有universal版的qq我没装，别的业务系统如果都是网页和OA也还好，最烦问题还是和老款打印机驱动兼容，最近被多页扫图的tif文件打印问题给烦死了…
和他们技术支持真是非常在商言商…

novem

不能把锅全给CrowdStrike
windows自身开放性太强，又没有足够的自我防御和修复能力，随便一个软件都能把系统干崩溃本身就不正常
微软不做改变，这种事情未来还会重演

查克海耶斯

novem 发表于 2024-7-24 00:43
不能把锅全给CrowdStrike
windows自身开放性太强，又没有足够的自我防御和修复能力，随便一个软件都能把系 ...

不可能的，安全性和便利性就是冲突的

Rockchan

君往何处 发表于 2024-7-20 17:04
且不说人工智能算不算IT行业（这个可以不算吗？），人工智能可是一个长久的学科了，上世纪50、60年代美国 ...

重点不一定是研究，是普罗大众也需要这产品的时间，要知道一个成功商业公司需要市场，需要认受性。但研究很多时靠的是资金，很多时开始那一刻只有概念，早期还未必有多少因外界需求而来的收入。研究没成果也扩展不了市场的东西说到尾也只是有限圈子的事情吧了。这种研究在科技界多不胜数。

到了市场真有大量需求时，能在普罗大众间跑出来的胜者不管建立时间长短，总应有原因。老字号能赢到今天自然是因为在过往提供了有吸引力的产品，然而当一个建立时间短的公司能从老字号手上抢客人，那自然应有能解释的东西，说到尾对一般用户来说，正在用的产品服务不输他人时，干嘛要转？私人用户因好奇随便转便算了，但企业还能在安全相关的情况下随便试新东西？

所以当这么多企业用 Crowdstrike 而不用老字号时，有人想知道企业为何转服务是理所当然。例如这是因产品质素，价钱便宜，还是政治需求。



— from S1 Next Goose v3.0.86-alpha

君往何处

Rockchan 发表于 2024-7-24 11:07
重点不一定是研究，是普罗大众也需要这产品的时间，要知道一个成功商业公司需要市场，需要认受性。但研究 ...

所以13年到底短吗？我前面说的都是认为对于IT行业不算短，不能当作其能力不够的论据。而你说的这些都是基于13年很短，然后就开始猜测能力外的东西

Rockchan

Open AI 那级别产品严格来说还不能说普遍使用，例如一般公司目前大多不需要用到 chatgpt，现在只能说 Open AI 率先跑出来，然而最后谁在市场站稳（先不论谁赢）还有点难说。这市场好像没有一早已稳站龙头的公司吧。

而 TikTok 本来便是跟原本视频网站不同理念的东西，属新兴市场，而我认识很多人在这种垂直短视频只知道 Tiktok，根本不太知道其他对手。

然而安全性问题早便不是新出现也未成熟的市场，更不可能各公司的 IT 人员只知 Crowdstrike 而不知道其他产品，不可以单单用 “年资低不代表比他人差” 作为无数公司什至国际大企业放弃老字号去转用新公司的理由。


— from S1 Next Goose v3.0.86-alpha

Benighted

novem 发表于 2024-7-24 00:43
不能把锅全给CrowdStrike
windows自身开放性太强，又没有足够的自我防御和修复能力，随便一个软件都能把系 ...

微软本来也不想给啊

据微软公司称，CrowdStrike 公司之所以拥有这一权限，是因为欧盟委员会 2009 年的一项裁决规定，微软公司必须确保第三方产品能够与微软公司的相关软件产品在平等的基础上使用相同的互操作性信息进行互操作。
微软软件许可专家里奇-吉本斯（Rich Gibbons）说： “微软因为第三方能够在如此深的技术层面上影响 Windows 而受到了一些批评。有趣的是，微软指出了一个事实，即这源于2009年欧盟的一项反竞争裁决，该裁决意味着微软必须给予其他安全公司与自己一样的Windows内核访问权限。”

所以现在也有消息称微软正在考虑将来以API的形式对第三方安全软件开放必要的权限，收回内核级别权限

Antonidas

君往何处 发表于 2024-7-20 16:50
即便按照你的举例，江民和瑞星占有率上打得过当时刚出来的360吗？赛道虽然老，IT技术的更新却很快，5年前 ...

虽然但是
360并不是用技术来占领市场的
这恰好论证了对方的观点

—— 来自 HUAWEI VOG-AL10, Android 10上的 S1Next-鹅版 v3.0.0.81-alpha

百姫

预发布,灰度发布,都没有,就一发全体推送哦

君往何处

Antonidas 发表于 2024-7-31 17:14
虽然但是
360并不是用技术来占领市场的
这恰好论证了对方的观点

360不是完全用技术占领市场，不等于360技术就不行吧。360杀毒刚出的时候用的是Bitdefender引擎，比瑞星和江民差吗？

カドモン

qqq2142 发表于 2024-7-22 18:05
这没什么问题对吧
我在xx局上班，我公司有深信服 我觉得很正常
打个比方

深信服好像有台湾代表处

カドモン

君往何处 发表于 2024-7-31 17:46
360不是完全用技术占领市场，不等于360技术就不行吧。360杀毒刚出的时候用的是Bitdefender引擎，比瑞星和 ...

其实业内用 bd 引擎是常态啊
几乎每家都用

カドモン

Rockchan 发表于 2024-7-24 11:30
Open AI 那级别产品严格来说还不能说普遍使用，例如一般公司目前大多不需要用到 chatgpt，现在只能说 Open  ...

兄弟，新概念新玩家，一般都会有先发优势的，安全这玩意儿业内也是新东西一直往外蹦
什么 xdr  edr  sora ，一般新概念做得好的公司，要么就是做大要么就是被收购。

カドモン

Benighted 发表于 2024-7-22 23:13
EDR关注的是系统进程、服务的异常行为，比如执行了powershell敏感命令，访问系统重要文件，主要目的是监 ...

国内大厂基本都是做的一起的，模块化，看你买不买了

kshuzhiwang

qqq2142 发表于 2024-7-20 16:17
兄弟你在混淆概念
安防是一个在IT领域里面非常古老的赛道
就像你刚刚提到人工智能，这是因为有CUDA这样小 ...

是的，安防领域很多叫得出名字的，都接近甚至超过40年...

kshuzhiwang

零☆壹 发表于 2024-7-20 16:46
openai也是刚被政府的人接管了，这类事情国内和全世界媒体连炒作都不炒作，整体还是比较顺从的

不是名不见 ...

openai被政府接管？什么意思？

零☆壹

kshuzhiwang 发表于 2024-8-2 16:45
openai被政府接管？什么意思？

https://openai.com/index/openai-appoints-retired-us-army-general/
中文新闻
https://www.sohu.com/a/785962612_320333
6月14日凌晨，OpenAI在官网宣布，美国陆军退役四星上将、前美国网络司令部司令、前国家安全局局长、前中央安全局局长，Paul M. Nakasone（中曾根）加入董事会和安全委员会。