【友财网讯】-上周五,全世界的电脑屏幕都变蓝了,航班停飞,酒店无法入住,货运也陷入停顿。企业只能用纸和笔。最初的怀疑是网络恐怖袭击。然而,现实情况要平凡得多:网络安全公司CrowdStrike的软件更新搞砸了。
安全公司Blackpoint Cyber的威胁情报主管尼克·海亚特(Nick Hyatt)说:“在这种情况下,这是一次内容更新。”
因为CrowdStrike拥有如此广泛的用户基础,所以它的内容更新在全世界都能感受到。
“一个错误造成了灾难性的后果。这是一个很好的例子,说明我们的现代社会与IT的联系有多紧密——从咖啡店到医院再到机场,像这样的一个错误会产生巨大的后果。”海亚特说。
在这种情况下,内容更新与CrowdStrike Falcon监控软件绑定在一起。海亚特表示,Falcon与监控终端(笔记本电脑、台式机和服务器)上的恶意软件和其他恶意行为有着深厚的联系。Falcon会自动更新自身以应对新的威胁。
海亚特说:“有Bug的代码是通过自动更新功能推出的,好吧,现在我们就在这里。”自动更新功能是许多软件应用程序的标准功能,并不是CrowdStrike所独有的。海亚特补充道:“只是由于CrowdStrike的所作所为,其后果是灾难性的。”
尽管CrowdStrike很快就发现了问题,许多系统在几小时内就恢复了运行,但对于拥有复杂系统的组织来说,全球范围内的破坏并不容易逆转。
前联邦调查局反恐和反间谍特工、网络安全专家埃里克·奥尼尔(Eric O 'Neill)表示:“我们认为,问题要过三到五天才能解决。这对企业来说是一段停机时间。”
奥尼尔说,这种宕机发生在夏季的一个周五,许多办公室都是空的,It部门帮助解决供应短缺的问题,这对解决问题没有帮助。
*软件更新应该逐步推出*
奥尼尔说,从全球IT中断中得到的一个教训是,CrowdStrike的更新应该逐步推出。
“Crowdstrike所做的是同时向所有人推出更新内容。这不是一个好主意。把它发给一组进行测试。它应该通过不同层次的质量控制。”奥尼尔说。
Visual Edge It安全与合规副总裁彼得·艾弗里(Peter Avery)表示:“在发布之前,它应该在沙箱和许多环境中进行测试。”
他预计,需要更多的保障措施来防止未来类似的事故再次发生。
“公司需要适当的制衡。可能是一个人决定推送这个更新,或者有人选错了文件来执行。”艾弗里说。
IT行业称这种情况为单点故障——系统某一部分的错误造成了跨行业、跨功能和互联通信网络的技术灾难;巨大的多米诺骨牌效应。
*呼吁在IT系统中建立冗余*
周五的事件可能会导致公司和个人提高他们的网络准备水平。
“从更大的角度来看,世界是多么脆弱;这不仅仅是网络或技术问题。有很多不同的现象会导致宕机,比如太阳耀斑会破坏我们的通信和电子设备。”艾弗里说。
约翰霍普金斯大学凯里商学院(Johns Hopkins Carey Business School)信息系统助理教授贾瓦德·阿贝德(Javad Abed)说,最终,周五的崩溃并不是对Crowdstrike或微软的控诉,而是对企业如何看待网络安全的控诉。阿贝德表示:“企业所有者不应仅仅将网络安全服务视为一项成本,而应将其视为对公司未来的一项必要投资。”
企业应该通过在系统中建立冗余来做到这一点。
“单点故障不应该阻止一个企业,而这就是发生的事情。”阿贝德说,“你不能只依赖一种网络安全工具,网络安全101。”
虽然在企业系统中构建冗余是昂贵的,但周五发生的事情代价更大。
阿贝德说:“我希望这是一个警钟,我希望它能改变企业主和组织的心态,修改他们的网络安全战略。”
*如何处理“内核级”代码*
前美国国土安全部(Department of Homeland security)官员、纽约大学(New York University) SPS全球事务中心(SPS Center for Global Affairs)讲师尼古拉斯·里斯(Nicholas Reese)表示,在宏观层面上,企业IT界往往将网络安全、数据安全和技术供应链视为“有就好”,而不是必不可少的东西,在组织内部普遍缺乏网络安全领导力,这是公平的。
里斯说,在微观层面上,导致这种中断的代码是内核级代码,影响着每一个计算机硬件和软件通信方面。里斯说:“内核级代码应该得到最高级别的审查”,批准和实施需要是完全独立的、有责任的过程。
这是一个将持续存在于整个生态系统的问题,充斥着第三方供应商的产品,都有漏洞。
里斯说:“我们如何纵观第三方供应商的生态系统,看看下一个漏洞会在哪里?这几乎是不可能的,但我们必须尝试。”。
他说:“在我们努力应对潜在漏洞的数量之前,这不是一个可能,而是一个必然。我们需要专注于备份和冗余,并对其进行投资,但企业表示,他们负担不起可能永远不会发生的事情的费用。这是一个很难证明的案例。”