最近两天,CrowdStrike引起的Windows蓝屏问题持续发酵。此事对重要生产设施造成极大故障。从CrowdStrike看,股票大跌,马斯克已经明确要求全部删除,各方面损失不少。过些天,应该可以看到CISO辞职或被解雇的信息。甲乙双方均损失惨重。
有几个EDR厂商在分析,技术上问题是怎么产生的,原理是什么?还有厂商在讨论,EDR是用驱动好,还是不用驱动好,是不是轻量级Agent更好,就好象用了他们的技术不会出现问题一样。还有人说自主可控好,就好象国产软件不会有问题一样。这些分析其实都没错,但都走偏了。
没见到一家反问自己,此类问题会不会发生?如果发生?影响会有多大?怎么处理?吃一堑长一智只是普通人,别人吃堑自己长智才是高手。
这个问题本质是个软件质量问题,而质量问题,总是会发生,这是著名的墨菲定律。无论是EDR厂商,还是CISO,要做的是如何预防此类问题发生,以及在发生时,如何尽量降低影响范围。
CISO们,不妨找你的EDR供应商问几个问题:
你的质量体系是什么样子的,能不能保证不发生此类问题?
你的发布升级的流程是什么样子的,如何避免问题发生?
万一发生问题,快速补救的措施是什么?
按乙方的措施,甲方需要怎么配合?
这些措施落地了没有?
把这几个问题想明白了,落实了,也许您睡觉的时候会塌实些。
如果需要更多的信息,可以参考下文
END
