為了娛樂和利潤而進行責(zé)任推卸:CrowdStrike(是一家提供網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)以阻止違規(guī)行為的公司。它提供跨端點����、云工作負(fù)載、身份和數(shù)據(jù)�、威脅情報、托管安全服務(wù)���、IT運營管理���、威脅搜索、零信任身份保護和日志管理的云交付保護���。CrowdStrike為全球客戶提供服務(wù)��,致力于幫助客戶發(fā)現(xiàn)攻擊即將到來時的征兆��,并在漏洞出現(xiàn)前采取措施�����。公司成立于2011年����,總部位于美國德克薩斯州奧斯汀市�。)的中斷事件大部分殘骸已經(jīng)清理干凈。但我們?nèi)匀粵]有認(rèn)識到一些最重要的IT影響����。
圖源:INSTA_PHOTOS(圖片上傳者���,可以譯為用戶INSTA_PHOTOS,或者INSTA_PHOTOS)?/ SHUTTERSTOCK
在2000年代初�,IT界對Y2K(千年蟲,指的是在2000年前后���,由于計算機系統(tǒng)在處理日期時可能會出現(xiàn)的問題�����,可能導(dǎo)致系統(tǒng)故障或數(shù)據(jù)錯誤��,全球IT界對此進行了大規(guī)模的修復(fù)和預(yù)防工作�����。)問題做出了前所未有的有效應(yīng)對��,但世界在事后審查中卻搞砸了��。來自世界各地的有影響力的人士宣稱�����,由于需要有人來指責(zé)���,他們宣稱這是IT公司夸大技術(shù)預(yù)算及其重要性的騙局���。
很高興有一個替罪羊����,世界無知地嘲笑,然后轉(zhuǎn)向下一個偽罪魁禍?zhǔn)住?/span>
現(xiàn)在輪到了CrowdStrike����。由于需要有人擔(dān)責(zé),微軟就像一只坐著的鴨子����,搖搖欲墜地棲息在一堆可疑的補丁之上,世界各地的影響者決心花費他們的精力和(談到可疑的)專業(yè)知識�����,進行抨擊�,而不是構(gòu)建一個系統(tǒng)的情況觀。
但在我們開始之前:似乎無論這個故事多么吸引人��,Southwest Airlines(西南航空。是美國一家總部設(shè)在德克薩斯州達(dá)拉斯的航空公司�。一般稱為美國西南航空公司。美國西南航空是以“廉價航空公司”而聞名�。是民航業(yè)“廉價航空公司”經(jīng)營模式的鼻祖。在載客量上�,它是世界第3大航空公司,在美國它的通航城市最多��。當(dāng)?shù)貢r間2023年12月18日�����,美國交通部表示���,因在2022年假日旅游旺季期間出現(xiàn)運營系統(tǒng)崩潰導(dǎo)致航班大面積取消或延誤���,美國西南航空公司被處以1.4億美元罰款。)并沒有因為其服務(wù)器運行在Windows 3.1上而對CrowdStrike的bug免疫����。然后是這個簡單的合理性測試:他們談?wù)摰氖且粋€必須支持?jǐn)?shù)萬最終用戶的網(wǎng)絡(luò)。在必須擴展到如此程度的基于Windows 3.1的網(wǎng)絡(luò)中����,哪種更可能導(dǎo)致系統(tǒng)故障?是糟糕的CrowdStrike補丁還是Windows 3.1本身?這有點像Southwest胡說他們的發(fā)動機技術(shù)是建立在膠帶和鋁箔上���。也許你覺得這樣可行��,但墜機也一樣就在眼前�����。
遺憾的是,不合理性不會說服那些陷入確認(rèn)偏誤的商業(yè)高管�,他們認(rèn)為IT對資金生命周期管理的請求,就像Y2K漏洞修復(fù)工作一樣����,是不必要的。
嘆息�。
我的觀點是:在AI驅(qū)動的網(wǎng)絡(luò)攻擊時代,你最不應(yīng)該做的就是將過時作為一種策略�。
相反,最好是注意從CrowdStrike混亂中得出的教訓(xùn)���。
見解1:CrowdStrike宕機不僅僅是一個技術(shù)缺陷
是的��,微軟允許訪問其內(nèi)核�����,而蘋果和大多數(shù)Linux變體則沒有����,這導(dǎo)致了造成問題的壞補丁。不過���,這并不是微軟的懶惰和草率決策�����。微軟這樣做是因為歐盟監(jiān)管機構(gòu)堅持要求�。
歐盟監(jiān)管機構(gòu)也不是因為愚蠢才堅持的�����。他們的目標(biāo)是確保歐洲操作系統(tǒng)市場的公平競爭�����。這是一種沒有得到回報的權(quán)衡���。但是�,權(quán)衡并不總是有回報的。否則為什么它們被稱為“權(quán)衡”����,而不是“非混合的祝福”����。
見解2:想責(zé)怪誰嗎?怪紅皇后
CrowdStrike從事網(wǎng)絡(luò)安全業(yè)務(wù)����。許多,也許是大多數(shù)網(wǎng)絡(luò)安全提供商都意識到他們陷入了“Red Queen Strategy”(?Red Queen策略?是一個在多個學(xué)科領(lǐng)域中出現(xiàn)的概念�����,尤其在生物學(xué)��、社會學(xué)和管理學(xué)中有著重要的應(yīng)用和解釋���。這個概念源自英國作家劉易斯·卡洛爾的《愛麗絲鏡中奇遇記》,其中紅皇后的一句名言:“你必須不停地跑���,才能留在同一個地方�����?��!?/span>這句話成為了Red Queen hypothesis/紅皇后假設(shè)或Red Queen效應(yīng)的核心思想�。這個假設(shè)強調(diào)了一種持續(xù)的進化壓力�,即生物為了保持其生存和競爭優(yōu)勢,必須不斷地適應(yīng)環(huán)境變化�,否則就會被淘汰。)中�����。就像愛麗絲夢游仙境的敵人一樣���,他們必須盡可能快地奔跑才能停在原地�����。
也就是說��,他們面臨著不斷的壓力����,要發(fā)布更新和更復(fù)雜的響應(yīng)來應(yīng)對更新和更復(fù)雜的威脅。
這是另一個系統(tǒng)性問題的方式���。像CrowdStrike這樣的網(wǎng)絡(luò)安全供應(yīng)商必須比謹(jǐn)慎所指示的更快地部署補丁和發(fā)布�����,“更快”意味著“測試不足”�。
供應(yīng)商被紅皇后困住了�����。他們可以在壞人發(fā)布新惡意軟件的時間表上防御新惡意軟件���,冒著發(fā)送有缺陷的補丁的風(fēng)險�,或者他們可以選擇不加防御����,讓客戶飽受新惡意軟件的侵害��,并處于易受攻擊的狀態(tài)�。
新惡意軟件發(fā)布得越快,網(wǎng)絡(luò)安全供應(yīng)商就越有可能在他們的補丁和發(fā)布中錯過缺陷����。
作為首席信息官��,你也不能幸免于紅皇后效應(yīng)���。IT部門不斷面臨著快速交付的壓力,沒有人想聽到放慢速度以降低風(fēng)險是必要的�����。
Rock, meet hard place(巖石��,遇到困難的地方����,引申為“將我置于艱難的處境”)。然后�,遇見DevOps(Development和Operations的組合詞,過程����、方法與系統(tǒng)的統(tǒng)稱。用于促進開發(fā)-應(yīng)用程序/軟件工程�����、技術(shù)運營和質(zhì)量保障-QA部門之間的溝通、協(xié)作與整合���。)�。
見解3:我們需要仔細(xì)����、認(rèn)真地看待DevOps
DevOps不僅僅是用戶接受測試已然消亡之處。它本應(yīng)是持續(xù)集成/持續(xù)交付(CI/CD)的“最佳實踐”��。但是太多的應(yīng)用者已經(jīng)用部署代替了交付���,區(qū)別在于交付意味著為進一步的質(zhì)量保證創(chuàng)建可發(fā)布的構(gòu)建�����,而不是立即將它們部署到生產(chǎn)環(huán)境�����。
見解4:界限已經(jīng)模糊
從前也有bug(指的是計算機程序中的錯誤�����、缺陷�、漏洞或故障��。?這些錯誤可能導(dǎo)致程序不按預(yù)期運行或者產(chǎn)生意外的結(jié)果���。)�����。與此同時�,有了惡意軟件?��,F(xiàn)在�,bug和破壞性的惡意軟件之間唯一的區(qū)別是作者的意圖�����。
見解5:準(zhǔn)備就是一切
在CrowdStrike漏洞面前具有韌性和可恢復(fù)性的企業(yè)之所以能夠保持韌性和可恢復(fù)��,是因為它們?yōu)槔账鬈浖艉推渌謴?fù)情況做好了準(zhǔn)備�����。
見解6:向ELT宣傳IT的權(quán)衡將得到回報
所有這些都讓我們回到了所有首席信息官必須克服的挑戰(zhàn)中,如果他們要保持哪怕是最輕微的理智:確保公司的執(zhí)行領(lǐng)導(dǎo)團隊接受IT行業(yè)的權(quán)衡性質(zhì)���。CrowdStrike的災(zāi)難給你提供了一個案例研究�,你可以用它來突出關(guān)鍵的IT權(quán)衡��。紅皇后困境——上面描述的速度與風(fēng)險選擇——是啟動對話的好地方���。
然后���,你可以爭取ELT(是Extract, Load, Transform的縮寫,它是一種數(shù)據(jù)集成方法�,與傳統(tǒng)的ETL/Extract, Transform, Load過程相比,ELT在數(shù)據(jù)處理過程中的順序有所不同����。在ETL中,數(shù)據(jù)通常在提取后經(jīng)過轉(zhuǎn)換和清洗�,然后再加載到目標(biāo)系統(tǒng)中。而在ELT中�����,數(shù)據(jù)首先被加載到目標(biāo)系統(tǒng)中��,然后再進行轉(zhuǎn)換和清洗?�?偟膩碚f�,ELT是一種現(xiàn)代數(shù)據(jù)集成方法�,它通過在數(shù)據(jù)倉庫或數(shù)據(jù)湖中進行數(shù)據(jù)轉(zhuǎn)換,提供了一種更高效��、更靈活的方式來處理和分析大規(guī)模數(shù)據(jù)集����。)的協(xié)助���,為你自己的IT組織必須應(yīng)對的一些關(guān)鍵權(quán)衡設(shè)定正確的平衡點�����。
作者:Bob Lewis(鮑勃·劉易斯)
Bob Lewis(鮑勃·劉易斯)是一名高級管理人員和IT顧問��,專注于IT和業(yè)務(wù)組織的有效性�����、戰(zhàn)略到行動的規(guī)劃以及業(yè)務(wù)/IT集成�。他是數(shù)碼人。您也可以在他的博客KeeptheJointRunning上找到更多信息�����。
譯者:寶藍(lán)
【睿觀:CrowdStrike的事件展示了現(xiàn)代IT管理中的復(fù)雜性����。IT部門需面對快速發(fā)展的威脅、嚴(yán)格的監(jiān)管要求以及系統(tǒng)內(nèi)部的技術(shù)挑戰(zhàn)�����。通過學(xué)習(xí)這些教訓(xùn)�����,企業(yè)可以更好地應(yīng)對未來的挑戰(zhàn)��,并確保其技術(shù)和安全策略得到合理管理����。
(一)背景概述
CrowdStrike是一家網(wǎng)絡(luò)安全公司,提供各種網(wǎng)絡(luò)保護服務(wù)�����。最近,公司經(jīng)歷了一次嚴(yán)重的中斷事件�,雖然大部分問題已經(jīng)解決,但仍然沒有完全認(rèn)識到其影響�。
(二)IT安全問題的歷史
2000年代初,Y2K(千年蟲)問題引起了廣泛關(guān)注和修復(fù)��。盡管IT界對Y2K問題進行了有效處理���,但事后卻遭到一些批評,認(rèn)為這只是IT公司夸大技術(shù)問題的手段�����。如今����,CrowdStrike也面臨類似的指責(zé),有人將其問題歸咎于公司自身而非整體系統(tǒng)問題�����。
(三)當(dāng)前的挑戰(zhàn)
CrowdStrike的問題并不僅僅是技術(shù)上的缺陷���。微軟的系統(tǒng)允許訪問其核心部分��,這導(dǎo)致了一些不良補丁的發(fā)布����,但這也是由于歐盟的監(jiān)管要求。網(wǎng)絡(luò)安全供應(yīng)商面臨“紅皇后效應(yīng)”——必須不斷更新和應(yīng)對新的威脅�,而這使得他們的補丁和解決方案可能沒有經(jīng)過充分測試。
(四)系統(tǒng)性問題與解決方案
1.技術(shù)缺陷不僅僅是技術(shù)問題:Microsoft的操作系統(tǒng)設(shè)計允許某些訪問�,這導(dǎo)致了補丁問題,但這是歐盟監(jiān)管的要求�����,并非微軟的單方面決定�����。
2.紅皇后效應(yīng):網(wǎng)絡(luò)安全公司必須快速應(yīng)對新威脅�����,但這也可能導(dǎo)致發(fā)布質(zhì)量不高的補丁��。
3.DevOps的角色:DevOps應(yīng)關(guān)注持續(xù)集成和交付(CI/CD)的最佳實踐���,而不僅僅是快速部署����。
4.漏洞與惡意軟件的界限:現(xiàn)在,惡意軟件和普通bug之間的區(qū)別主要在于作者的意圖��。
5.準(zhǔn)備工作的重要性:韌性和恢復(fù)能力取決于對勒索軟件和其他攻擊的準(zhǔn)備����。
6.向高層宣傳IT的權(quán)衡:IT部門需要向公司高層解釋技術(shù)權(quán)衡的必要性,以便更好地管理風(fēng)險和預(yù)算����。】
