为了娱乐和利润而进行责任推卸:CrowdStrike(是一家提供网络安全产品和服务以阻止违规行为的公司。它提供跨端点、云工作负载、身份和数据、威胁情报、托管安全服务、IT运营管理、威胁搜索、零信任身份保护和日志管理的云交付保护。CrowdStrike为全球客户提供服务,致力于帮助客户发现攻击即将到来时的征兆,并在漏洞出现前采取措施。公司成立于2011年,总部位于美国德克萨斯州奥斯汀市。)的中断事件大部分残骸已经清理干净。但我们仍然没有认识到一些最重要的IT影响。
图源:INSTA_PHOTOS(图片上传者,可以译为用户INSTA_PHOTOS,或者INSTA_PHOTOS) / SHUTTERSTOCK
在2000年代初,IT界对Y2K(千年虫,指的是在2000年前后,由于计算机系统在处理日期时可能会出现的问题,可能导致系统故障或数据错误,全球IT界对此进行了大规模的修复和预防工作。)问题做出了前所未有的有效应对,但世界在事后审查中却搞砸了。来自世界各地的有影响力的人士宣称,由于需要有人来指责,他们宣称这是IT公司夸大技术预算及其重要性的骗局。
很高兴有一个替罪羊,世界无知地嘲笑,然后转向下一个伪罪魁祸首。
现在轮到了CrowdStrike。由于需要有人担责,微软就像一只坐着的鸭子,摇摇欲坠地栖息在一堆可疑的补丁之上,世界各地的影响者决心花费他们的精力和(谈到可疑的)专业知识,进行抨击,而不是构建一个系统的情况观。
但在我们开始之前:似乎无论这个故事多么吸引人,Southwest Airlines(西南航空。是美国一家总部设在德克萨斯州达拉斯的航空公司。一般称为美国西南航空公司。美国西南航空是以“廉价航空公司”而闻名。是民航业“廉价航空公司”经营模式的鼻祖。在载客量上,它是世界第3大航空公司,在美国它的通航城市最多。当地时间2023年12月18日,美国交通部表示,因在2022年假日旅游旺季期间出现运营系统崩溃导致航班大面积取消或延误,美国西南航空公司被处以1.4亿美元罚款。)并没有因为其服务器运行在Windows 3.1上而对CrowdStrike的bug免疫。然后是这个简单的合理性测试:他们谈论的是一个必须支持数万最终用户的网络。在必须扩展到如此程度的基于Windows 3.1的网络中,哪种更可能导致系统故障?是糟糕的CrowdStrike补丁还是Windows 3.1本身?这有点像Southwest胡说他们的发动机技术是建立在胶带和铝箔上。也许你觉得这样可行,但坠机也一样就在眼前。
遗憾的是,不合理性不会说服那些陷入确认偏误的商业高管,他们认为IT对资金生命周期管理的请求,就像Y2K漏洞修复工作一样,是不必要的。
叹息。
我的观点是:在AI驱动的网络攻击时代,你最不应该做的就是将过时作为一种策略。
相反,最好是注意从CrowdStrike混乱中得出的教训。
见解1:CrowdStrike宕机不仅仅是一个技术缺陷
是的,微软允许访问其内核,而苹果和大多数Linux变体则没有,这导致了造成问题的坏补丁。不过,这并不是微软的懒惰和草率决策。微软这样做是因为欧盟监管机构坚持要求。
欧盟监管机构也不是因为愚蠢才坚持的。他们的目标是确保欧洲操作系统市场的公平竞争。这是一种没有得到回报的权衡。但是,权衡并不总是有回报的。否则为什么它们被称为“权衡”,而不是“非混合的祝福”。
见解2:想责怪谁吗?怪红皇后
CrowdStrike从事网络安全业务。许多,也许是大多数网络安全提供商都意识到他们陷入了“Red Queen Strategy”(Red Queen策略是一个在多个学科领域中出现的概念,尤其在生物学、社会学和管理学中有着重要的应用和解释。这个概念源自英国作家刘易斯·卡洛尔的《爱丽丝镜中奇遇记》,其中红皇后的一句名言:“你必须不停地跑,才能留在同一个地方。”这句话成为了Red Queen hypothesis/红皇后假设或Red Queen效应的核心思想。这个假设强调了一种持续的进化压力,即生物为了保持其生存和竞争优势,必须不断地适应环境变化,否则就会被淘汰。)中。就像爱丽丝梦游仙境的敌人一样,他们必须尽可能快地奔跑才能停在原地。
也就是说,他们面临着不断的压力,要发布更新和更复杂的响应来应对更新和更复杂的威胁。
这是另一个系统性问题的方式。像CrowdStrike这样的网络安全供应商必须比谨慎所指示的更快地部署补丁和发布,“更快”意味着“测试不足”。
供应商被红皇后困住了。他们可以在坏人发布新恶意软件的时间表上防御新恶意软件,冒着发送有缺陷的补丁的风险,或者他们可以选择不加防御,让客户饱受新恶意软件的侵害,并处于易受攻击的状态。
新恶意软件发布得越快,网络安全供应商就越有可能在他们的补丁和发布中错过缺陷。
作为首席信息官,你也不能幸免于红皇后效应。IT部门不断面临着快速交付的压力,没有人想听到放慢速度以降低风险是必要的。
Rock, meet hard place(岩石,遇到困难的地方,引申为“将我置于艰难的处境”)。然后,遇见DevOps(Development和Operations的组合词,过程、方法与系统的统称。用于促进开发-应用程序/软件工程、技术运营和质量保障-QA部门之间的沟通、协作与整合。)。
见解3:我们需要仔细、认真地看待DevOps
DevOps不仅仅是用户接受测试已然消亡之处。它本应是持续集成/持续交付(CI/CD)的“最佳实践”。但是太多的应用者已经用部署代替了交付,区别在于交付意味着为进一步的质量保证创建可发布的构建,而不是立即将它们部署到生产环境。
见解4:界限已经模糊
从前也有bug(指的是计算机程序中的错误、缺陷、漏洞或故障。这些错误可能导致程序不按预期运行或者产生意外的结果。)。与此同时,有了恶意软件。现在,bug和破坏性的恶意软件之间唯一的区别是作者的意图。
见解5:准备就是一切
在CrowdStrike漏洞面前具有韧性和可恢复性的企业之所以能够保持韧性和可恢复,是因为它们为勒索软件攻击和其他恢复情况做好了准备。
见解6:向ELT宣传IT的权衡将得到回报
所有这些都让我们回到了所有首席信息官必须克服的挑战中,如果他们要保持哪怕是最轻微的理智:确保公司的执行领导团队接受IT行业的权衡性质。CrowdStrike的灾难给你提供了一个案例研究,你可以用它来突出关键的IT权衡。红皇后困境——上面描述的速度与风险选择——是启动对话的好地方。
然后,你可以争取ELT(是Extract, Load, Transform的缩写,它是一种数据集成方法,与传统的ETL/Extract, Transform, Load过程相比,ELT在数据处理过程中的顺序有所不同。在ETL中,数据通常在提取后经过转换和清洗,然后再加载到目标系统中。而在ELT中,数据首先被加载到目标系统中,然后再进行转换和清洗。总的来说,ELT是一种现代数据集成方法,它通过在数据仓库或数据湖中进行数据转换,提供了一种更高效、更灵活的方式来处理和分析大规模数据集。)的协助,为你自己的IT组织必须应对的一些关键权衡设定正确的平衡点。
作者:Bob Lewis(鲍勃·刘易斯)
Bob Lewis(鲍勃·刘易斯)是一名高级管理人员和IT顾问,专注于IT和业务组织的有效性、战略到行动的规划以及业务/IT集成。他是数码人。您也可以在他的博客KeeptheJointRunning上找到更多信息。
译者:宝蓝
【睿观:CrowdStrike的事件展示了现代IT管理中的复杂性。IT部门需面对快速发展的威胁、严格的监管要求以及系统内部的技术挑战。通过学习这些教训,企业可以更好地应对未来的挑战,并确保其技术和安全策略得到合理管理。
CrowdStrike是一家网络安全公司,提供各种网络保护服务。最近,公司经历了一次严重的中断事件,虽然大部分问题已经解决,但仍然没有完全认识到其影响。
2000年代初,Y2K(千年虫)问题引起了广泛关注和修复。尽管IT界对Y2K问题进行了有效处理,但事后却遭到一些批评,认为这只是IT公司夸大技术问题的手段。如今,CrowdStrike也面临类似的指责,有人将其问题归咎于公司自身而非整体系统问题。
CrowdStrike的问题并不仅仅是技术上的缺陷。微软的系统允许访问其核心部分,这导致了一些不良补丁的发布,但这也是由于欧盟的监管要求。网络安全供应商面临“红皇后效应”——必须不断更新和应对新的威胁,而这使得他们的补丁和解决方案可能没有经过充分测试。
1.技术缺陷不仅仅是技术问题:Microsoft的操作系统设计允许某些访问,这导致了补丁问题,但这是欧盟监管的要求,并非微软的单方面决定。
2.红皇后效应:网络安全公司必须快速应对新威胁,但这也可能导致发布质量不高的补丁。
3.DevOps的角色:DevOps应关注持续集成和交付(CI/CD)的最佳实践,而不仅仅是快速部署。
4.漏洞与恶意软件的界限:现在,恶意软件和普通bug之间的区别主要在于作者的意图。
5.准备工作的重要性:韧性和恢复能力取决于对勒索软件和其他攻击的准备。
6.向高层宣传IT的权衡:IT部门需要向公司高层解释技术权衡的必要性,以便更好地管理风险和预算。】
