图片来源:SFIO CRACHO / SHUTTERSTOCK
至少可以说,从上周 CrowdStrike 的有缺陷的内容更新中恢复影响了数百万 Microsoft Windows 端点,这是一项艰巨的任务。
这次停电使企业、云服务提供商和关键基础设施提供商处于岌岌可危的境地,并引起了人们对 CrowdStrike 市场份额的主导地位的关注,估计占据了端点检测和响应 (EDR) 市场的 24%。
这种领先地位以及对平台方法保护数据的持续推动是 CrowdStrike 入选 CSO 十大最强大的网络安全公司名单的主要驱动力。但是,这次宕机事件也引发了人们对企业云战略的质疑,并重新引发了关于过度特权软件的辩论,因为IT领导者正在寻找从灾难性事件中吸取教训的启示。
它还凸显了集中风险的缺点。
CrowdStrike 被业内许多人视为 EDR 和反恶意软件保护市场的“黄金标准”。其 Falcon 解决方案在每个端点设备上都使用一个代理来持续监控它们并响应勒索软件和恶意软件等网络威胁。这种基于代理的方法,以及 CrowdStrike 的快速响应内容验证过程中的缺陷,是许多企业必须修复的蓝屏死机 (BSOD) 范围的核心。
随着企业将其系统重新上线,IT 领导团队肯定必须面对以下问题:他们是如何受到影响的,以及他们真正暴露于这些类型事件的风险是什么。尽管近年来努力提高复原力,但在 CrowdStrike 之后,每个人都会感到比以前更加脆弱。
展望未来,IT领导者必须更加关注“集中风险”以及如何更好地管理这些供应链风险。
正如英国金融行为监管局(FCA)所指出的,集中风险被定义为:“由于公司与单一客户或一组关联客户的关系强度或程度或直接暴露而产生的风险。
通俗地说,就是把所有的鸡蛋都放在一个篮子里。我们应该期待这个简单的定义得到应用,并得到监管机构的关注。我之所以这么说,是因为最近我与其他首席信息安全官和监管机构举行了一次会议,他们对集中风险表示了越来越的担忧。
监管机构将观察到所谓的“世界上最大的IT中断”,他们将面临压力,不知道可以采取哪些措施来防止这种情况再次发生。一旦尘埃落定,我预计不断增加的云浓度风险将成为一个重要目标。
大多数企业在向公共云的过渡中继续取得进展,多个大型机构采用了“云优先”的口号。这些转型通常从单个云提供商开始,然后根据特定用例的需要逐渐引入其他云提供商,以满足数据主权要求。
当这些企业令人担忧地依赖单一云服务提供商 (CSP) 来满足其所有关键业务需求时,现在就会出现云集中风险。实际上,这已经将对他们自己的数据中心的依赖转变为现在存储所有数据,在单一的云基础设施上运行所有应用程序。
当任何一个事件(如 CrowdStrike 中断)都可能扰乱您的整个运营时,云集中风险就会完全实现。随着企业越来越依赖相同的应用程序和云提供商,这在规模上可能是毁灭性的,正如我们在 CrowdStrike 中看到的那样。这种情况延伸到安全漏洞和其他可能对国家和行业产生更系统性影响的事件。
新南威尔士大学网络研究所 (IFCYBER) 的 Matt Ryan 博士解释说:“在重大技术中断事件期间,大型金融机构会发现很难简单地从一个云服务提供商转向另一个云服务提供商,因为对于大多数商业组织来说,建立这种弹性水平的成本实在太高了。
尽管如此,我们还是必须这样做。
为了避免云集中风险的危险,多云策略至关重要,在这种策略中,业务工作负载分布在多个云提供商中。实施多云策略后,当一个提供商出现问题时,您在其他云中的运营可以保持运行。
另一种选择是采用混合云方法,将私有云和公共云相结合。这使您可以更好地控制专有和敏感数据,同时仍具有公有云可扩展性的所有优势。
但是,这两种方法(多云或混合云)都将增加复杂性和挑战,如果管理不当,可能会影响弹性。不幸的是,多个供应商的复杂性可能会导致事件和新的风险。这包括云配置错误和故障排除困难。
对于首席信息官来说,这些方法增加了供应商的复杂性,需要跨不同的 SLA 和支持流程进行管理。FinOps 融合了财务和云运营,必须实施 FinOps,以管理多云环境中各种云提供商的成本以及合同。在内部,首席信息官必须管理这些云供应商以及云提供商自己使用的任何第三方的安全策略。
展望未来,了解您的组织的确切可接受的集中风险水平将是一个关键问题。董事会将希望管理团队衡量这种风险,以便他们能够定义他们的容忍度应该是多少。
云安全联盟在这个话题上有一些很好的思考。它建议开发将风险承受能力评估、数据/资产分类和业务需求转化为公司政策、控制目标和技术控制的流程的方法。
我建议的方法是从识别和记录所有关键业务操作开始。一旦定义了这些,技术团队就可以开始确定支持这些操作的所有底层技术组件和供应商。在这个阶段,组织可以开始测试和识别过程中可能需要进一步处理或冗余的单点故障。
