Crowdstrike宕机与全球软件单点故障问题

立即观看视频3:3403:34技术故障表明了保护关键系统的重要性：Chertoff Group首席执行官资金搬运工 对企业IT的大规模攻击频率正在增加。这并不罕见或出乎意料，因为公司在对抗黑客的不对称战争中投入了大量资金用于网络防御，黑客可以将几行代码串在一起并造成严重破坏。但是，周五有史以来最大的IT中断是由于CrowdStrike软件错误上传到微软操作系统而不是任何恶意攻击造成的，这表明了一种技术威胁，这种威胁随着黑客攻击而增加，但受到的关注较少：单点故障——系统一部分的错误，在行业、功能和互联通信网络中造成了技术灾难；巨大的多米诺骨牌效应。今年早些时候，AT&T因技术更新而发生了全国性的停机。去年，美国联邦航空管理局在一次路线更新中，一个人更换了一个关键文件后发生了停机（现在美国联邦航空局有一个备份系统来防止这种情况再次发生）。Chertoff Group联合创始人兼首席执行官、国土安全部前幕僚长Chad Sweet周五告诉CNBC：“即使只是例行补丁和更新，这种情况也更频繁。”。 单点故障风险管理是公司需要计划和防范的问题。Sweet说，世界上没有一款软件发布后不需要修补或更新，而且在生产版本发布后的一段时间内，存在涵盖持续软件维护的最佳安全实践。在CrowdStrike宕机之后，与Chertoff Group合作的公司正在密切审查软件开发和更新标准。Sweet指出，政府已经提供了一套协议，即SSDF（安全软件开发框架），随着国会开始更密切地关注这个问题，这可能会让市场知道会发生什么。这可能是在最近从AT&T到FAA和CrowdStrike的一系列事件之后发生的，因为这种技术故障现在已被证明会广泛影响公民的生活和关键基础设施的运营。“在企业方面做好准备，”斯威特说。Arcadia首席战略官兼前白宫首席技术官Aneesh Chopra周五告诉CNBC，包括能源、银行、医疗保健和航空公司在内的关键行业都有单独的风险监管规定，在监管最严格的行业中，这些措施可能是独一无二的。但对于任何商业领袖来说，现在的问题是，“假设系统崩溃，B计划是什么？我们将看到更多的场景规划，如果这不是第一项任务，那么第二项或第三项任务就是概述这些场景，”他说。 立即观看视频4:3904:39前白宫首席技术官Aneesh Chopra关于全球重大技术故障：“这是一个警钟”街头抗议 与华盛顿特区的许多问题不同，Chopra指出，两党都致力于解决关键基础设施和系统性风险问题，技术标准是美国系统的“标志”。现在可能有他所说的旨在“改善竞争”的努力，作为加强问责制的一种手段。Chopra说：“如果有一种以更开放和更具竞争力的方式进行更新的机制，那么可能会有压力确保以一种点划线的方式进行。”。斯威特表示，这将不可避免地引发商界对过度监管风险的担忧。虽然现在无法确定CrowdStrike是否有办法使用更开放的流程来检测单点故障，但他说这是一个合理的问题。Sweet认为，避免过度监管的最佳方法是寻求市场强化机制，如保险业。他说：“简短的回答是，‘让自由市场来做，通过保险业等方式，保险业将以较低的保费奖励优秀的参与者。’”。Sweet还表示，更多的公司应该接受“反脆弱”组织的理念，就像他对待客户一样，这是风险分析师Nassim Nicholas Taleb创造的一个术语。他说：“不仅是一个在中断后具有弹性的组织，而且是一个蓬勃发展、创新并超越竞争对手的组织。”。在他看来，任何单一的立法或法规都很难跟上恶意攻击和技术更新的步伐，而这些攻击和更新都会带来意想不到的后果。乔普拉说：“这无疑是一个警钟。”。