來自多個行業(yè)的IT領導者討論了他們團隊的實際工作,以及他們?yōu)樘岣唔憫媱澓湍芰Χ@得的早期成果��。
圖源:GORODENKOFF(圖片上傳者�����,可以譯為用戶GORODENKOFF�����,或者GORODENKOFF)?/ SHUTTERSTOCK
Mike Mainiero(邁克·邁尼耶羅)在7月19日凌晨2點左右被其事故響應團隊喚醒����。Catholic Health(Catholic Health Services of Long Island 是位于美國紐約長島的一家健康服務機構(gòu)。?該機構(gòu)全資收購了斯特林外科中心�����,?這筆交易擴大了其在該地區(qū)的門診眼科和胃腸外科手術服務���。此外�,其?還計劃部署由ElectrifAi公司生產(chǎn)的未經(jīng)測試的人工智能產(chǎn)品��,?以減輕急診病房處理病患的壓力。?)的IT系統(tǒng)及其合作伙伴的系統(tǒng)出現(xiàn)故障�����,其中一家放射學供應商是首批遇到技術困難的供應商之一���。
這家位于長島的醫(yī)療保健系統(tǒng)擁有近16�����,000名員工,支持六家急癥護理醫(yī)院��、三家療養(yǎng)院����、一個家庭健康服務中心、一個臨終關懷中心和一個醫(yī)生診所網(wǎng)絡提供支持�。Catholic Health的高級副總裁兼CDIO(Chief Information and Digital Officer,首席信息和數(shù)字官)的Mainiero(邁尼耶羅)表示����,該機構(gòu)成立了一個分診團隊,負責召集IT人員��,并建立網(wǎng)絡安全和其他事件的指揮中心。
他說:“我們需要立即召集團隊����,首先嘗試了解發(fā)生了什么,然后進行分流�、溝通和緩解。”他補充說�,要員們很快意識到這是一個一級優(yōu)先事件?���!帮@然,當醫(yī)院里發(fā)生任何事情時���,人們都會出大事����?�!?/span>
和Mainiero(邁尼耶羅)一樣�����,許多首席信息官在7月19日驚覺�����,他們的組織由于網(wǎng)絡安全公司CrowdStrike(是一家提供網(wǎng)絡安全產(chǎn)品和服務以阻止違規(guī)行為的公司。它提供跨端點��、云工作負載��、身份和數(shù)據(jù)���、威脅情報����、托管安全服務�����、IT運營管理�����、威脅搜索���、零信任身份保護和日志管理的云交付保護。CrowdStrike為全球客戶提供服務�����,致力于幫助客戶發(fā)現(xiàn)攻擊即將到來時的征兆,并在漏洞出現(xiàn)前采取措施�。公司成立于2011年,總部位于美國德克薩斯州奧斯汀市�����。)的軟件更新故障而遭遇了宕機�����。全球數(shù)百萬臺運行微軟Windows(Microsoft Windows是美國微軟公司以圖形用戶界面為基礎研發(fā)的操作系統(tǒng)�,主要運用于計算機、智能手機等設備����。共有普通版本、服務器版本/Windows Server��、手機版本/Windows Phone等��、嵌入式本/Windows CE等各子系列��,是全球應用最廣泛的操作系統(tǒng)之一���。)的計算機崩潰�����,顯示“藍屏死機”錯誤消息���。
然后���,Mainiero(邁尼耶羅)開始向最高管理層發(fā)送消息,告知他們情況��,并讓他們了解到指揮中心已經(jīng)建立��。
Mainiero(邁尼耶羅)說�,Catholic Health收到了CrowdStrike的通知,其中包含了有關補救措施的信息����,這些補救措施必須手動應用于數(shù)百臺服務器���。隨后�����,對患者護理環(huán)境中的臺式機和工作站進行了修復��。
指揮中心向所有醫(yī)療系統(tǒng)設施的運營負責人提供接觸點更新���。他說:“我們能夠減輕這種情況�,所以我們不必取消任何手術或預約�,他們的設施仍然能夠為患者提供護理,工作人員會在紙上做筆記�。到當天下午5點,所有關鍵問題都得到了緩解���。”
Mainiero(邁尼耶羅)指出���,如果停擺發(fā)生在白天,影響將會更大��?�!霸卺t(yī)院里��,你會不想把病人轉(zhuǎn)移到另一個環(huán)境中���,我們能夠避免所有的轉(zhuǎn)移�����?��!彼f�,“所以這肯定會影響到最終用戶�����,而非病人�����。由于我們的快速反應�����,我們能夠減輕傷害�����?!?/span>
一�����、全體人員響應
雖然并非所有危及生命的情況,但這種情況在全球各地的組織中都發(fā)生了����。對于許多首席信息官來說,做好準備��,制定災難恢復和業(yè)務連續(xù)性計劃�,并與利益相關者不斷溝通,可以減輕停擺的影響��。
雖然不是所有危及生命的情況����,但同樣的情況在全球各地的組織中都發(fā)生過。對于許多首席信息官來說���,做好準備��、制定災難恢復和業(yè)務連續(xù)性計劃����,以及與利益相關者的持續(xù)溝通,減少了中斷的影響�。
“我們能夠在三個小時內(nèi)讓所有服務器重新運行起來,并且……到那個星期五下午�����,所有筆記本電腦也都重新運行了��,”全國性注冊會計師事務所The Bonadio Group(是一家提供會計�、?稅務和咨詢服務的前50名全國排名CPA公司。它不僅在紐約州外是最大的獨立會計���、?商業(yè)咨詢和金融服務提供商之一�����,?而且已經(jīng)從最初的兩個人發(fā)展到現(xiàn)在擁有超過1�,000名員工����。?)的首席信息官John Roman(約翰·羅曼)估計,每1100臺設備中大約有300臺受到了影響����?!拔覀兡軌蜃龅竭@一點����,是因為我們實施了事件響應計劃�。大多數(shù)事件響應計劃都是在發(fā)生某種惡意軟件事件時制定的。我們對計劃進行了泛化����,以考慮任何類型的事件,包括全球范圍的疫情���。”
一旦部署了事件響應計劃����,第二步就是呼吁IT部門的每個人實施CrowdStrike為解決問題而創(chuàng)建的腳本��,Roman(羅曼)說�����,他還通過全公司的短信服務��、內(nèi)聯(lián)網(wǎng)門戶和電子郵件與公司領導和所有員工保持不斷的溝通�。
和Mainiero(邁尼耶羅)一樣����,Roman(羅曼)說���,停擺產(chǎn)生了影響��?���!叭绻惺裁春孟⒌脑?���,那就是我們是一家會計師事務所,我們?nèi)隉o休�,不過,我們一年中最繁忙的時候可能是納稅季節(jié)���?��!彼f,“如果這發(fā)生在3月份�,將會對業(yè)務產(chǎn)生重大影響,因為我們無法提供稅務服務�,但因為它發(fā)生在夏末��,我們能夠盡快補救���,對業(yè)務的影響微乎其微。”
這對stablecoin 2.0 ecosystem management(是指專注于管理和運營穩(wěn)定幣����,即?Stablecoin��,?2.0生態(tài)系統(tǒng)的公司���。?穩(wěn)定幣是一種加密貨幣��,?其價值與某種資產(chǎn)��,?如美元�����,?保持固定匯率�����,?旨在提供一種價格穩(wěn)定的數(shù)字貨幣�。?Stablecoin 2.0生態(tài)系統(tǒng)指的是第二代穩(wěn)定幣系統(tǒng)的構(gòu)建和運營,?這可能包括技術創(chuàng)新���、?去中心化治理��、?用戶賦權(quán)等特征�����。?這樣的生態(tài)系統(tǒng)管理公司負責維護和擴展穩(wěn)定幣生態(tài)���,?確保其穩(wěn)定運行,?同時推動創(chuàng)新和用戶參與�,?以提供更加全面和高效的金融服務。)公司Black Wallet(是一家提供數(shù)字貨幣錢包服務的公司�����,?其服務主要涉及加密貨幣錢包的管理和使用�。?該公司通過提供安全、?便捷的數(shù)字資產(chǎn)管理解決方案����,?幫助用戶存儲、?發(fā)送和接收多種加密貨幣��,?包括比特幣、?以太坊等����。?Black Wallet注重用戶隱私和安全,?采用先進的加密技術保護用戶資產(chǎn)��,?同時也提供易于使用的界面����,?使得即使是初學者也能輕松管理自己的數(shù)字資產(chǎn)���。?此外����,?該公司還積極參與加密貨幣社區(qū)���,?為用戶提供最新的市場信息和交易建議�,?幫助用戶更好地理解和利用加密貨幣����。)的影響更為顯著。首席信息官Remi Alli(雷米·阿里)將其描述為“對我們的組織來說是一次具有挑戰(zhàn)性的經(jīng)歷”�����,并表示停擺持續(xù)了數(shù)小時,“在此期間���,我們無法訪問關鍵的安全功能�����,這影響到了我們的服務器和筆記本電腦�?���!?/span>
Alli(阿里)說,如果無法訪問CrowdStrike的服務��,“我們無法有效地監(jiān)控和應對潛在威脅����,這引發(fā)了對我們整體安全態(tài)勢的擔憂。這是一個緊張而具有挑戰(zhàn)性的時期����,因為我們必須在保持系統(tǒng)完整性的同時,克服停擺帶來的限制?���!?/span>
二、保持冷靜是關鍵
Alli(阿里)做的第一件事是召集事件響應小組評估情況���,并制定公司的即時響應計劃�����。Alli(阿里)說:“我們必須確保在解決停擺影響的同時保持業(yè)務連續(xù)性�?!薄?/span>
溝通至關重要�����,Alli(阿里)定期向領導層和利益相關者通報情況以及IT正在采取的措施��?��!霸谶@種情況下很容易感到恐慌,但我們專注于保持透明和冷靜��,這有助于保持團隊腳踏實地��,”Alli(阿里)說。
此外�����,Alli(阿里)說:“缺乏對關鍵安全見解的訪問使我們暫時處于風險之中�,但更重要的是,這突顯了我們整體安全態(tài)勢中的漏洞�。我們不得不迅速改變一些安全協(xié)議,并依賴其他措施�,這提醒了我們制定強有力的備份計劃和冗余的重要性?����!?/span>
Mainiero(邁尼耶羅)對此表示贊同���,他說���,在這種情況下,“你必須扮演一個角色——如果你驚慌失措�����,你的團隊也會驚慌失措,”他說�����,訓練教會了他永遠不要提高嗓門���?���!暗覍靡环N指揮和控制的語氣…我可能會堅定[而且]毫不道歉���,但總體是和藹的�。你會想要激勵人們�����,因為只要你不頤氣指使����,他們一般上會為你做得更多�。”
三�����、經(jīng)驗教訓和其他收獲
應付賬款軟件供應商AvidXchange(AvidXchange Holdings, Inc.是一家為中間市場企業(yè)及其供應商提供AP自動化軟件和支付解決方案的領先供應商。該公司基于SaaS的端到端軟件和支付平臺實現(xiàn)了AP工作流程的數(shù)字化和自動化��,?為7,000多家企業(yè)?提供了服務���。?AvidXchange利用其深厚的專業(yè)知識����,?專門構(gòu)建了一個強大的雙向網(wǎng)絡���,?連接買家和供應商���,?推動數(shù)字化轉(zhuǎn)型,?提高AP工作流程的效率和準確性��,?加速支付�����,?實現(xiàn)對關鍵分析的洞察�,?并降低買家的運營成本。?AvidXchange成立于2000年���,?位于美國夏洛特市�,?創(chuàng)始人為MichaelPraeger。)的部分面向客戶的產(chǎn)品組合受到停擺的影響���,但首席信息官Angelic Gibson(安吉利·吉布森)表示�,IT部門能夠在不到24小時內(nèi)完全恢復服務。她將這歸功于“過度準備”,并在停擺時制定了場景計劃����。
Gibson(吉布森)說:“我們按照我們的業(yè)務中斷計劃行事�。采取措施進行積極準備,并建立正確的溝通渠道����,使我們能夠在內(nèi)部工作以恢復系統(tǒng)運行的同時,快速有效地與所有必要方進行溝通�����。”
Gibson(吉布森)說�,首席信息官們必須公開且頻繁地保持溝通,同時要對策略有信心并提供保證�����,確保他們有冗余���,并準備好動員資源�����,以便IT能夠迅速行動��。
Catholic Health的Mainiero(邁尼耶羅)強調(diào)���,有一個預先構(gòu)建的溝通計劃至關重要,包括人員名單和一個平臺���,讓你能夠創(chuàng)建預設的主題行和文本�����。同樣重要的是擁有一個系統(tǒng)����,讓你能夠“自動召集你的團隊進行集合”����。
他還建議隨時聯(lián)系供應商����。盡管Mainiero(邁尼耶羅)直接與CrowdStrike打交道�,但他表示,鑒于Catholic Health與數(shù)百家供應商合作�����,通知所有受停擺影響的人非常重要�����。
和其他組織一樣��,the Bonadio Group的Roman(羅曼)說�����,一個組織的事故響應計劃需要考慮到任何重大事件�����,而不僅僅是勒索軟件或惡意軟件攻擊����。此外���,僅僅制定一個計劃是不夠的���;你必須踐行它���。
Roman(羅曼)說:“我們每年都會進行桌面演習,并在此基礎上更新我們的事件應對計劃����。”
根據(jù)你的IT部門的規(guī)模���,如果有整個公司的停擺����,它應該隨時待命����。
“然后是溝通,溝通����,再溝通�,”Roman(羅曼)說��,“人們想知道在整個停擺期間發(fā)生了什么���。我經(jīng)常旅行����,最令人惱火的一件事可能是無緣無故的航班取消�����。但當你知道原因時����,你還是會感覺不太好……但你可能比一無所知時感覺好一點?!?/span>
Black Wallet的Alli(阿里)從停擺中吸取了一些關鍵的教訓。首先是“為意外事件做好準備����。不管供應商看起來多么可靠,都要有應急計劃�。”Alli(阿里)說,“測試我們的事件響應協(xié)議以應對包括供應商停擺在內(nèi)的各種情況是當務之急�。”
另一個是加強內(nèi)部溝通,不僅在IT內(nèi)部�,而且在整個組織內(nèi)部。Alli(阿里)說����,這可以幫助緩解恐慌���,并確保每個人都意見一致�����。
停擺還促使我們“深入研究我們的第三方依賴關系��,不僅審查CrowdStrike��,還有所有關鍵供應商�。了解我們對他們的依賴��,可以更積極地管理這些關系���,并更好地進行風險評估��。”
Alli(阿里)說����,這還加強了Black Wallet在組織內(nèi)部培養(yǎng)強大的網(wǎng)絡安全習慣的必要性。
恢復后��,Black Wallet“進行了徹底的事后分析�����,不僅分析哪里出了問題���,還分析我們是如何反應的���,”Alli(阿里)說,“這種反思性實踐將有助于我們改進自己的流程���?��!?/span>
總體來說,雖然CrowdStrike宕機是一次艱難的經(jīng)歷���,但它也提醒了組織“在我們的網(wǎng)絡安全方法中���,彈性和適應性的重要性���,”Alli(阿里)說,“恢復過程不僅涉及技術修復���,還包括加強我們組織在安全和風險管理方面的文化����。”
四����、保持忠誠
Roman(羅曼)和Mainiero(邁尼耶羅)都強調(diào)��,停擺不會影響他們與CrowdStrike的關系���。
盡管該公司受到了批評���,但“CrowdStrike是一家了不起的公司,我們看看供應商的工程文化����,”Mainiero(邁尼耶羅)說,“他們犯了一個錯誤?����!彼a充說�����,醫(yī)療系統(tǒng)必須為任何可能出現(xiàn)的故障做好準備�。
注意到CrowdStrike被一些人指責在行業(yè)中擁有壟斷地位,Mainiero(邁尼耶羅)說�����,這一事件是一個質(zhì)量保證問題�。隨著系統(tǒng)和集成變得更加復雜和精密,他說��,行業(yè)應該團結(jié)起來討論如何處理質(zhì)量保證問題����。
Roman(羅曼)也表達了同樣的觀點,他說:“我們都是人��。我們都會犯錯誤��。如果你傾向放棄CrowdStrike……你就必須考慮放棄任何基于云的提供商。到目前為止��,CrowdStrike一直運作良好����,并阻止了病毒和惡意軟件的爆發(fā),他們的支持非常出色�,我們?nèi)匀恢铝τ谂c他們保持關系?����!?/span>
作者:Esther Shein(埃斯特·謝恩)
Esther Shein(埃斯特·謝恩)是一名記者��,在紙媒和網(wǎng)絡寫作方面具有豐富的寫作和編輯經(jīng)驗��,專注于業(yè)務和技術�,以及教育和普羅大眾��。
譯者:寶藍
