回顧2000年初,在IT部門前所未有地成功應對Y2K問題之后,全球對事后總結進行了失敗的處理。受困于尋找責任人的需求,來自世界各地的意見領袖們聲稱這是IT部門為膨脹技術預算和提高其重要性而制造的騙局。
世界對此欣然接受了這個替罪羊的說法,然后不明就里地嘲笑一番,接著轉向下一個偽罪魁禍首。
現在輪到了CrowdStrike。各地的意見領袖們受困于尋找責任人的需求,而微軟恰巧成了一個毫無防備的目標,坐在一個可疑的補丁堆上,全球的“專家”們不遺余力地開始甩鍋,而不是構建對形勢的系統性理解。
但在我們開始討論之前:無論這個故事多么吸引人,西南航空似乎并未因CrowdStrike的漏洞而幸免,因為它的服務器運行在Windows 3.1系統上。再來一個簡單的合理性測試:我們在討論一個需要支持數萬終端用戶的網絡。在這樣一個必須擴展到如此規模的Windows 3.1網絡中,系統故障的更可能原因是什么——是一個糟糕的CrowdStrike補丁,還是Windows 3.1本身?這有點像讓西南航空用膠帶和鋁箔來支撐其發動機技術。也許你可以做到,但這同樣容易導致墜機。
令人遺憾的是,不合理的推測并不能說服那些受確認偏誤影響的商業高管,他們認為IT部門的生命周期管理資金請求就像Y2K漏洞修復工作一樣是不必要的。
這只是我的意見:在一個充斥著AI驅動網絡攻擊的時代,最后一件你應該做的事就是將過時作為一種策略。
相反,你最好注意從CrowdStrike事件中學到的教訓。
見解#1:CrowdStrike宕機不僅僅是一個技術缺陷
沒錯,微軟允許訪問其內核,而蘋果和大多數Linux變體沒有,這導致了問題補丁的出現,這并非是因為微軟懶惰或決策草率,微軟這么做是因為歐盟監管機構的要求。
歐盟監管機構并非愚蠢才做出這種要求,他們的目標是確保歐洲操作系統市場的公平競爭,這是一種權衡,結果卻沒有如愿,但正如所有的權衡一樣,它們并不總是能帶來好結果,這就是為什么它們被稱為“權衡”而不是“十全十美”。
見解#2:想找人責備?責備紅皇后吧
CrowdStrike從事的是網絡安全業務。許多網絡安全提供商,甚至可能是大多數,認識到他們被困在“紅皇后策略”中。就像愛麗絲夢游仙境中的紅皇后一樣,他們必須拼命奔跑才能保持原地不動。
他們,即網絡安全供應商,正面臨著不斷推出更復雜的應對措施以應對日益復雜的威脅的巨大壓力。
這也是系統性問題的另一種表現形式。像CrowdStrike這樣的網絡安全供應商必須比審慎行事所需的時間更快地部署補丁和更新,而“更快”往往意味著“測試不足”。
供應商被困在紅皇后效應中。他們可以選擇按照不法分子的惡意軟件發布節奏防御新威脅,冒著發布有缺陷補丁的風險,或者選擇不防御新惡意軟件,從而讓他們的客戶暴露在風險中。
新惡意軟件發布的速度越快,網絡安全供應商在補丁和更新中出現缺陷的可能性就越大。
作為CIO,你也無法免受紅皇后效應的影響。IT部門一直承受著快速交付的壓力,沒有人愿意聽到放慢節奏以降低風險是必要的。
這就是進退兩難的局面。接下來,我們來談談DevOps。
見解#3:我們需要仔細審視DevOps
DevOps不僅僅是用戶驗收測試逐漸消亡的地方,它原本應該是“持續集成/持續交付(CI/CD)”的“最佳實踐”所在,但太多的采用者將“交付”與“部署”混為一談,而實際上,交付意味著創建可發布的版本以進行進一步的質量保證,而不是立即將其部署到生產環境中。
見解#4:界限已模糊
曾幾何時,軟件中存在漏洞,與此同時,也存在惡意軟件,現在,漏洞與破壞性惡意軟件之間的唯一區別就是作者的意圖。
見解#5:準備就是一切
那些在CrowdStrike漏洞面前具有韌性和可恢復性的企業,之所以能夠如此,是因為他們已經為勒索軟件攻擊和其他恢復情況做好了準備。
見解#6:向高層領導推廣IT的權衡觀念將帶來回報
所有這些都將我們帶回CIO必須克服的一個挑戰,如果他們希望保留哪怕一絲理智:確保公司的高層領導團隊理解IT工作中充滿權衡的本質。CrowdStrike的混亂事件為你提供了一個案例研究,你可以用它來突出關鍵的IT權衡問題。紅皇后困境——即速度與風險之間的選擇——是一個很好的切入點。
然后,你可以尋求高層領導團隊的幫助,為你自己的IT部門必須應對的一些關鍵權衡設定正確的平衡點。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號