全球?CrowdStrike?崩潰表明�����,當(dāng) IT 運營依賴于單點故障時����,您將面臨什么風(fēng)險��。重新考慮組織的云集中風(fēng)險承受能力,并定義匹配的策略�����。
圖片來源:SFIO CRACHO / SHUTTERSTOCK
至少可以說�����,從上周 CrowdStrike 的有缺陷的內(nèi)容更新中恢復(fù)影響了數(shù)百萬 Microsoft Windows 端點���,這是一項艱巨的任務(wù)�。
這次停電使企業(yè)�、云服務(wù)提供商和關(guān)鍵基礎(chǔ)設(shè)施提供商處于岌岌可危的境地,并引起了人們對 CrowdStrike 市場份額的主導(dǎo)地位的關(guān)注��,估計占據(jù)了端點檢測和響應(yīng) (EDR) 市場的 24%����。
這種領(lǐng)先地位以及對平臺方法保護(hù)數(shù)據(jù)的持續(xù)推動是 CrowdStrike 入選 CSO 十大最強(qiáng)大的網(wǎng)絡(luò)安全公司名單的主要驅(qū)動力。但是����,這次宕機(jī)事件也引發(fā)了人們對企業(yè)云戰(zhàn)略的質(zhì)疑,并重新引發(fā)了關(guān)于過度特權(quán)軟件的辯論,因為IT領(lǐng)導(dǎo)者正在尋找從災(zāi)難性事件中吸取教訓(xùn)的啟示�����。
它還凸顯了集中風(fēng)險的缺點��。
什么是集中風(fēng)險�?
CrowdStrike 被業(yè)內(nèi)許多人視為 EDR 和反惡意軟件保護(hù)市場的“黃金標(biāo)準(zhǔn)”。其?Falcon?解決方案在每個端點設(shè)備上都使用一個代理來持續(xù)監(jiān)控它們并響應(yīng)勒索軟件和惡意軟件等網(wǎng)絡(luò)威脅���。這種基于代理的方法��,以及 CrowdStrike 的快速響應(yīng)內(nèi)容驗證過程中的缺陷�,是許多企業(yè)必須修復(fù)的藍(lán)屏死機(jī) (BSOD) 范圍的核心���。
隨著企業(yè)將其系統(tǒng)重新上線���,IT 領(lǐng)導(dǎo)團(tuán)隊肯定必須面對以下問題:他們是如何受到影響的,以及他們真正暴露于這些類型事件的風(fēng)險是什么�。盡管近年來努力提高復(fù)原力,但在 CrowdStrike 之后��,每個人都會感到比以前更加脆弱�����。
展望未來����,IT領(lǐng)導(dǎo)者必須更加關(guān)注“集中風(fēng)險”以及如何更好地管理這些供應(yīng)鏈風(fēng)險。
正如英國金融行為監(jiān)管局(FCA)所指出的�,集中風(fēng)險被定義為:“由于公司與單一客戶或一組關(guān)聯(lián)客戶的關(guān)系強(qiáng)度或程度或直接暴露而產(chǎn)生的風(fēng)險。
通俗地說����,就是把所有的雞蛋都放在一個籃子里。我們應(yīng)該期待這個簡單的定義得到應(yīng)用����,并得到監(jiān)管機(jī)構(gòu)的關(guān)注。我之所以這么說�,是因為最近我與其他首席信息安全官和監(jiān)管機(jī)構(gòu)舉行了一次會議,他們對集中風(fēng)險表示了越來越的擔(dān)憂����。
監(jiān)管未來
監(jiān)管機(jī)構(gòu)將觀察到所謂的“世界上最大的IT中斷”,他們將面臨壓力�,不知道可以采取哪些措施來防止這種情況再次發(fā)生。一旦塵埃落定����,我預(yù)計不斷增加的云濃度風(fēng)險將成為一個重要目標(biāo)��。
大多數(shù)企業(yè)在向公共云的過渡中繼續(xù)取得進(jìn)展�,多個大型機(jī)構(gòu)采用了“云優(yōu)先”的口號��。這些轉(zhuǎn)型通常從單個云提供商開始�,然后根據(jù)特定用例的需要逐漸引入其他云提供商,以滿足數(shù)據(jù)主權(quán)要求���。
當(dāng)這些企業(yè)令人擔(dān)憂地依賴單一云服務(wù)提供商 (CSP) 來滿足其所有關(guān)鍵業(yè)務(wù)需求時�,現(xiàn)在就會出現(xiàn)云集中風(fēng)險��。實際上��,這已經(jīng)將對他們自己的數(shù)據(jù)中心的依賴轉(zhuǎn)變?yōu)楝F(xiàn)在存儲所有數(shù)據(jù)��,在單一的云基礎(chǔ)設(shè)施上運行所有應(yīng)用程序�。
當(dāng)任何一個事件(如 CrowdStrike 中斷)都可能擾亂您的整個運營時,云集中風(fēng)險就會完全實現(xiàn)���。隨著企業(yè)越來越依賴相同的應(yīng)用程序和云提供商���,這在規(guī)模上可能是毀滅性的�����,正如我們在 CrowdStrike 中看到的那樣。這種情況延伸到安全漏洞和其他可能對國家和行業(yè)產(chǎn)生更系統(tǒng)性影響的事件���。
新南威爾士大學(xué)網(wǎng)絡(luò)研究所 (IFCYBER) 的 Matt Ryan 博士解釋說:“在重大技術(shù)中斷事件期間��,大型金融機(jī)構(gòu)會發(fā)現(xiàn)很難簡單地從一個云服務(wù)提供商轉(zhuǎn)向另一個云服務(wù)提供商�,因為對于大多數(shù)商業(yè)組織來說�,建立這種彈性水平的成本實在太高了。
盡管如此����,我們還是必須這樣做。
進(jìn)入多云
為了避免云集中風(fēng)險的危險�����,多云策略至關(guān)重要�,在這種策略中,業(yè)務(wù)工作負(fù)載分布在多個云提供商中���。實施多云策略后���,當(dāng)一個提供商出現(xiàn)問題時���,您在其他云中的運營可以保持運行。
另一種選擇是采用混合云方法�����,將私有云和公共云相結(jié)合���。這使您可以更好地控制專有和敏感數(shù)據(jù)���,同時仍具有公有云可擴(kuò)展性的所有優(yōu)勢。
但是���,這兩種方法(多云或混合云)都將增加復(fù)雜性和挑戰(zhàn)���,如果管理不當(dāng),可能會影響彈性����。不幸的是,多個供應(yīng)商的復(fù)雜性可能會導(dǎo)致事件和新的風(fēng)險����。這包括云配置錯誤和故障排除困難��。
對于首席信息官來說��,這些方法增加了供應(yīng)商的復(fù)雜性�,需要跨不同的?SLA?和支持流程進(jìn)行管理���。FinOps 融合了財務(wù)和云運營,必須實施 FinOps��,以管理多云環(huán)境中各種云提供商的成本以及合同���。在內(nèi)部�,首席信息官必須管理這些云供應(yīng)商以及云提供商自己使用的任何第三方的安全策略����。
您的集中風(fēng)險承受能力如何?
展望未來�,了解您的組織的確切可接受的集中風(fēng)險水平將是一個關(guān)鍵問題。董事會將希望管理團(tuán)隊衡量這種風(fēng)險�����,以便他們能夠定義他們的容忍度應(yīng)該是多少。
云安全聯(lián)盟在這個話題上有一些很好的思考��。它建議開發(fā)將風(fēng)險承受能力評估���、數(shù)據(jù)/資產(chǎn)分類和業(yè)務(wù)需求轉(zhuǎn)化為公司政策����、控制目標(biāo)和技術(shù)控制的流程的方法�����。
我建議的方法是從識別和記錄所有關(guān)鍵業(yè)務(wù)操作開始�����。一旦定義了這些�����,技術(shù)團(tuán)隊就可以開始確定支持這些操作的所有底層技術(shù)組件和供應(yīng)商�。在這個階段,組織可以開始測試和識別過程中可能需要進(jìn)一步處理或冗余的單點故障�����。
