CrowdStrike事故席卷全球，每位CIO應當從中吸取的六條教訓

2024-08-31 19:24

來源：澎湃新聞·澎湃號·湃客

無論是出于吃瓜還是甩鍋的心態，CrowdStrike宕機事故的余波都已經基本散去。然而，從中吸取教訓、把握最重要的IT影響才是意義所在。

2000年初，相較于IT世界針對千年蟲問題做出前所未有的高效響應，事后評估工作卻可以說是一塌糊涂。全球各地的意見領袖似乎急于找人背鍋，甚至宣稱千年蟲問題就是IT部門為了擴大技術預算、強調自身重要性而制造的一場騙局。

找到了宣泄對象的人們都很開心，無知且盲目的熱情被鼓動起來，之后就是時間推移、事件平息，再轉向下一個所謂的“罪魁禍首”。

這一次的CrowdStrike也成了類似的眾矢之的。無論是確實負有責任的CrowdStrike本身，還是作為實際爆發事故場景的Windows締造者微軟，世界各地的意見領袖們再次投入大量時間、精力跟專業知識（存疑），選擇對相關當事方破口大罵，而不是以系統化的視角深入分析整個來龍去脈。

但首先需要承認：無論這次事故看起來波及范圍多廣、后果多嚴重，西南航空都絲毫沒有受到CrowdStrike漏洞的影響——因為他們的服務器運行的是Windows 3.1。于是問題來了：對于一個需要支持成千上萬最終用戶的業務網絡，到底是哪個選項更有可能造成系統故障——包含bug的CrowdStrike Falcon更新，還是Windows 3.1本身？大家當然可以給出自己的答案。實際上西南航空的行為類似于在發動機中使用膠帶加錫紙，倒也不是不行，但風險也隨時可能來臨。

遺憾的是，有時候說服那些患有偏執癥的企業高管們就是這么困難——在很多人看來，IT部門申請的生命周期管理資金就類似于當初的千年蟲bug修復，完全就是在騙吃騙喝。

我的個人觀點也很明確：在AI驅動網絡攻擊的新時代，最糟糕的決策就是把容忍過時當成一項策略。

相反，任何指望按老辦法行事的決策者，都應該牢牢記住此番CrowdStrike的遭遇。

教訓一：CrowdStrike宕機事故不僅僅源自技術缺陷

沒錯，微軟確實向CrowdStrike授予了內核訪問權限，而蘋果和大多數Linux變體不會這么做，因此導致問題的直接因素似乎就是CrowdStrike Falcon糟糕的版本更新。但這并不代表微軟的懶惰和草率，而是因為歐盟監管機構堅持要求軟件巨頭這么做。

歐盟監管機構這樣堅持，也不代表他們就是一群高高在上的笨蛋。他們的目標是確保歐洲操作系統市場能夠保持公平競爭。這是一場沒有真正壞人的角力，而角力也不一定就有贏家。正因為如此，我們才生活在地上、而非完美無瑕的天國。

教訓二：非要找個人罵？那就罵“紅皇后”吧

CrowdStrike是一家從事網絡安全業務的公司。跟大多數網絡安全提供商一樣，他們發現自己陷入到了“紅皇后困境”當中。就如同愛麗絲夢游仙境中的這位經典反派，他們必須全力以赴才能保證自己仍然存續、不被替代。

沒錯，這些廠商都面臨著無情的競爭壓力，需要加快發布更新、更復雜的應對措施來解決好更新、更復雜的安全威脅。

這也是系統性問題的另一種典型表現。像CrowdStrike這樣的網絡安全提供商必須以超越審慎態度的節奏快速部署內容更新、補丁和版本，而“更快”往往意味著“測試不充分”。

于是這些提供商都陷入了紅皇后困境，他們要么根據惡意攻擊者的行動節奏迅速交付新的防御方案，哪怕冒著補丁或者內容更新中存在缺陷的風險；要么放棄保護客戶免受新型惡意軟件的侵害，導致受眾處于危險當中。

很明顯，新型惡意軟件迭代的速度越快，網絡安全提供商就越可能無法察覺自己內容更新、補丁和版本中的代碼缺陷。