ThreatTank简介–第5集:全球IT中断
Tom Gorup:欢迎使用Threat Tank,这是一个播客,内容涵盖最新的威胁情报,威胁响应以及有关全球安全形势的见解。 我是主持人Tom Gorup,Edgio安全服务副总裁。
今天,我们将深入探讨最近引人注目的IT中断,探讨发生了什么,影响是什么,以及我们可以从中学到什么。
今天和我一起参加的还有Richard Yew和Matt Fryer。
欢迎,Richard,Matt。
马特·弗赖尔:很高兴来到这里。 谢谢你的邀请。
Richard Yew:谢谢你让我再次来到这里。
汤姆·葛鲁普:是的,又是。 马特,既然你是威胁坦克的新手,你是谁? 自我介绍。
马特弗赖尔:快乐!Matt Fryer,我是Fortinet的CISO架构师。
因此,我的背景是一条漫长的网络安全之路,从个人贡献者(项目经理和项目经理)直接在应用程序安全安全安全运营中心工作,一直到中层管理人员,一直到CISO (几个不同组织的安全运营高管)。
所以,我有一种背景,直接在企业内部工作,以及联邦政府和民事国防部级别的政府的东西.
汤姆·戈鲁普:太棒了。 这听起来像很多乐趣的地方。
Matt Fryer:这就像一种安全的猎枪方法。 做任何事情。
Tom Gorup:我觉得很多人都在安全领域,特别是在过去的十年里,对吧? 一路上有很多事情要搞清楚。
“怎么样? 我知道你以前一直在做,但没错。
Richard Yew:我想知道你是否可以说理查德不需要介绍,但我在这里。
是的,Richard Yew,我是Edgio的产品管理副总裁。
我负责我们的安全产品组合以及应用程序边缘计算和Web性能业务线的开发和增长市场战略。
Tom Gorup:太棒了。 好了,再一次,欢迎来到威胁坦克。 我觉得这是一个有趣的插曲。
我想我们有很多事情要谈,特别是这个事件发生在将近一个月前。 因此,我们可以获得更多信息,在后端获得更多详细信息
但在我们开始之前,我很乐意从一个问题开始我们所有的播客。 对于每一个倾听的人来说,他们不知道这个问题是什么。 “你是不是已经准备好了?” 你准备好了吗?
马特·弗赖尔:我准备好了。
汤姆·葛鲁普:是的。 这并不重要。 我准备好再去一次。
好的,这里有一个问题。
你现在是一个超级英雄,拥有你能想象到的最世俗的力量。
它是什么?您如何使用它来拯救一天?
Matt Fryer:世俗的超级大国。 所以,我们要定义我们世俗的超级大国。 是的,让我们看看。
什么是好的,世俗的超级大国? 我不知道。
Tom Gorup:也许你可以。 当你呼吸,你吸入,你可以最大限度地增加氧气摄入量。
Richard Yew:我不知道,男人,我的意思是,我能像你们一样长出胡须。 我的意思是,这是超级大国,男人。
汤姆·葛鲁普:这是相当平凡的,对吧?
Matt Fryer:喜欢加速。
“那你打算怎么办?” 我能改变世界,你知道吗?
Matt Fryer:是的,卵泡生长加速让我看起来很好,操纵人们做好事,做正确的事情,而不是坏事——一个箭头的信息和虚假信息。 你可以用好的外表创造世界各地的好东西。
Richard Yew:太棒了。
Tom Gorup:是的,那是尼安德特人在我里面的一部分。 你知道的,只是头发生长。
马特·弗赖尔:这是爱尔兰人在我里面。
Richard Yew:那是尼安德特人。 红色来自尼安德特人,所以我听到了。
Matt Fryer:它有很多红色和更多的灰色。 当您获得足够长的网络安全时,颜色就会变为灰色。
汤姆·戈鲁普:理查德,你的胡子会是。 “你怎么知道的? 你知道,我现在想象着你有一只像我的胡须,就像把胡须种在你身上一样。
Richard Yew: 看,就像我提到胡须的原因是因为我在思考头发,就像我最世俗的超级大国一样,只是让头发以同样的方式生长,并在一定长度停止生长,这样我就可以醒来,不必担心我的头发,打开我的相机,做我要做的任何事情,我不知道,节省30分钟的头发。 是的,我会有一次。
Matt Fryer:是的。 功能强大。 我有4个calyx。 你知道这是多么困难。
Tom Gorup:你知道,这是相当平常的,但仍然有用。
Richard Yew:是的。 我想每天醒来,用同样的头发。
汤姆·葛鲁普:是的。 这就像不想弄清楚你要穿什么。 就像,如果我不需要管理我的头发,那就太棒了。 我试着刮胡子。 我在COVID期间剃了它,但我的妻子真的是一个居民。 所以这场斗争是真实的。
Richard Yew:能够穿着衣服洗澡,不让衣服弄湿。 对。
Matt Fryer:太棒了。 获得安慰。 我告诉我的妻子,我要剃胡须。 你的胡须会刺我,但我要剃胡须。 她的反应是,没有人会相信你,所以你必须保持你的胡须。 你不能相信我没有胡子。
Tom Gorup:这是公平的。
Richard Yew:你现在在伤害我的感情。
汤姆·戈鲁普:好的,好的,让我们跳进来。 发生了什么事?
CrowdStrike推出了一个更新,它导致了一些问题,然后当我给出一些细节在这里发生了什么?
有几个问题。 所以,他们推出了他们的软件更新,它不能很好地运行Windows特定版本,对。 所以,不是每一个版本,肯定有人运行的版本不受影响,但它会影响Windows和导致什么是众所周知的在IT行业的蓝屏死亡,并需要手动干预来实际删除导致蓝屏死亡的特定文件输入,这样你就可以让实际的操作系统正常运行. 所以,实际上,推出了一个更新,在这个过程中破坏了Windows,这是一种10,000英尺的视图,可以看到发生了什么。
Richard Yew:是的,昨天我做了一些最后一分钟的功课,重新读了整个RCA。 真有趣。 这就像是一个简单的错误,就像你有一个传感器,但也有一个快速响应的内容RRC,这基本上只是一个配置。 但配置,例如当他们期望21个输入,但配置只有20个输入。 所以,你猜发生了什么? 您尝试阅读这些内容,但有一些内存问题导致内核驱动程序崩溃。 我的意思是,了解为什么内核在第一位。
Tom Gorup: 所以,当我读RCA时,我忍不住了,但他们就像想象一个参数的某种GIF,就像在野外,只是从来没有做过,就像这个损失参数,你知道,21个中的20个。 只有一个参数会导致全局IT中断,因为每个人都在描述它。 对我来说,这是一个了不起的地方。 因此,就您而言,这是CrowdStrike代理在内核级别运行的,但让我们稍微探讨一下。 IT是否需要该级别的访问权限? 喜欢什么? 我猜为什么它可以访问内核?
Richard Yew:你想把微软引入这个领域吗?
汤姆·葛鲁普:是的。 我的意思是,你必须要,对吧? 当你在探索这个问题时,抽象地说,这是我过去几周一直在思考的,是谁错了,对吧? 我们开始解决这个问题。 我们谈论CrowdStrike,推出具有20个参数而不是所需的21个参数的更新,副产品是代理崩溃。 好吧,软件崩溃。 发生了。 签名更新是否会使软件崩溃? 可能不是。 是否应该进行更严格的测试? 可能。 但现在,我们要在操作系统上崩溃,对吧? 现在微软正处于混合状态。
Matt Fryer:所以,当你开始时,当这个问题是从战略层面从风险层面被问到时,就像是谁错了? 谁是谁? 谁是真的,当你缩小它的过错发生了什么,和简单的答案是指责CrowdStrike。 这是每个人都要做的最简单的答案。 这就像是,哦,你推动更新,你破坏了一切。 这是最容易给出的答案。 通常不是正确的答案。 我会说,从一个专业的观点,从一个战略家的观点,这是每个人的过错,对吗? 所以,如果我是CrowdStrike,我是否会在本周晚些时候在全球范围内推出更新,而不是分阶段的方法,只是一个大大的推动,这可能不是世界上最好的流程。 作为一个运行环境的个人,我是否不考虑我的环境的可用性,对吗? 我是否完全依赖供应链并在我的供应链中制造问题,从而使我的供应链中断? 我不认为这是我的供应链管理计划的一部分,但不要考虑这一点,因为这部分是我作为CISO的一部分,或者安全主管说,嘿,就像你必须考虑到你将会有SolarWinds,Microsoft或CrowdStrike或某个人会对你的环境造成干扰一样。 你必须有一个BCP或一种方法来克服这一问题。 所以不能只是,哎呀,对不起, CrowdStrike打破了它。 这都是你的错。 这不可能是答案。 从监管的角度来看,我们有监管机构进来,对组织,企业如何运作来创造一个公平的竞争环境,对吧? 我们可以为这一点做好准备,但当你有监管机构规定公平竞争的环境时,你知道,企业,你就在制造漏洞。 这是无意中的。 它不是恶意的任何方式,但你是在自然而然地制造漏洞。 所以,当你问这个问题时,为什么你可以访问内核? 我想如果你做一点挖掘,你会发现为什么,对吧? 简单的答案是他们没有选择。 你必须把它交给他们,因为这是一个来自监管机构的命令。
Richard Yew:是的,我认为这一切都归结为反竞争法。 例如,其中的一部分是Windows具有Windows Defender,就好像Defender是唯一一个可以访问内核并能够安装内核驱动程序的Windows Defender,那么它给Windows Depender带来了不公平的优势,对吧? 为了自由市场竞争,对吧? 其他安全提供商应有权访问此信息。 然而,虽然我要从技术角度来看,我的技术帽子。
汤姆·戈鲁普:它也是黑色的。 好极了。 是的,白色的一个在他的左手…
Richard Yew:但我得到了一个白色的!
所以,发生了什么事,根据专家的意见,对。 许多这些安全功能都需要内核级别的访问权限才能真正执行其功能。 你可能会争辩说,嘿,为什么它只是更多的在微软方面? 其实,为了每个人的背景目的,退一步,对吧? 你知道,在计算中,通常有两个阶段,就像通勤中的两个空间。 有一个内核空间,硬件与软件交互,然后有一个用户空间。 这是你知道的,你的Windows加载你的程序,你可以在你的软件上安装你的游戏,你的Microsoft文字和任何东西,他们可以使用这就是用户空间。 那么总有一场辩论,对吧? 嘿,您应该在内核空间中安装安全服务,因为它具有最高级别的访问权限,或者更像最低级的访问权限,对吧?
汤姆·戈鲁普:在这种情况下,屏幕为零,对吧?
Richard Yew:是的,如果有恶意软件正在运行新的进程和威胁,或者如果有恶意软件正在将恶意文件写入磁盘,您就可以在该级别拦截并阻止它。 这就是为什么,然而,还有一个骗局是危险的,对吗? 因此,如本例所示,驱动程序中的崩溃导致引导失败,这意味着最终用户根本无法到达用户空间。
Matt Fryer:您为了单一的控制缓解策略而牺牲了可用性。 所以,我需要内核访问权限,因为我将获得针对恶意攻击的深入检查,对吧? 这是(Microsoft) Defender的思考过程,不是其他人的思考过程,对吗? 我需要监视内核,因为如果内核中发生了一些不好的情况,我需要看到这一点,这样我就可以缓解它。 我想退一步说,这是正确的方法吗? 或者,隔离和隔离是一种更好的方法,可以创建一个具有可用性和安全性的公平竞争环境。 所以,你需要内核访问权限吗?因为如果你做了坏事,你就会破坏东西,对吧?
我宁愿你只是监视它,然后隔离它,隔离它,如果有一个问题”,那么我不是打破坏东西.
这是否有意义?
汤姆·戈鲁普:我想我们可以采取几个不同的方向来进行这种对话。 例如,您知道,其中一个是由Microsoft签名的特定驱动程序,其编写方式可以有效地扩展到利用其他DLL。 我不认为它们实际上是系统文件,但它们相当于驱动程序现在在某种意义上执行超出其参数范围的文件,对吧? 这就是造成事故的原因。 这是我对它的理解吗?
Richard Yew:是的,像这样。 老实说,这里总是有一场辩论,正如你可以看到CrowdStrike RCA一样,对吧? 他们很好地暗示了这样一个事实:Windows的较新版本提供了在用户空间上运行安全服务的更多功能。 我们将继续与Microsoft密切合作,以确保我们能够移植更多此安全功能。 所以,他们确实认识到在内核空间上运行这些东西可能不是一个bueno,但他们不得不因为提供给他们的环境,对吧? 为了使它们有效运作,它们必须这样做。 然而,如果再说一次,这是我们回去像谁的过错,你知道这是什么? 这是CrowdStrikes的错误吗?他们是否要求只在内核空间中运行此错误? 我们不知道,对吧? 但似乎确实有一个愿望将所有这些移植到用户空间吗? 例如,为了能够提供相同级别的检查和可见性,无论恶意软件正在写入的是什么,更高级别的流程都会发生。 所以,像航空工业或任何安全守则都是用血液写的。 我觉得在这种情况下,每个流程改进,将安全功能从内核级别移植到用户空间的任何改进都是随中断而编写的,对吧?
汤姆·戈鲁普:是的,这是一个特权最低的模型。 它实际需要多少钱? 可以做些什么? 内核级别需要什么? 但当我想到这一点时,我想知道,你之前描述它的方式,Matt,几乎感觉像是一种安全文化,对吧? 我们需要更多的可见性,更多的访问权限。 我们需要能够看到所有的东西,所有的时间。 你知道,我们是从安全文化的角度这样做的吗? 我们必须让代理了解一切,例如添加更多软件。
Matt Fryer:当你像10年前的战略家一样进入安全操作时,他们想要记录所有的日志。 你的意思是所有的日志? 这是一个把一切都发送给我的模型,直到他们很快意识到没有办法做到这一点。 你知道我的意思吗? 你把所有这些东西都拿进去了。 所以,这种文化与不安全感。 就像,让我可以访问所有内容,这样我就可以完成工作了。 你从来不会后退一步。 侏罗纪公园参考,是的,你想要访问。 你应该对吗? 您应该拥有该访问权限吗? 您应该这样做吗? 这不是你能做到的,它应该是对的? 我们从来不是一种安全文化,我们开始意识到这一点,然后我们开始退回来,好吧,我们是否需要这种访问权限? 是否有另一种我们不需要的策略? 我们可以用不同的方式来做到这一点,对吧? 因为另一方面,我们会更安全一点,创建更好的可用性计划,或者您知道,如果我们确实遇到问题,我们的响应时间会更短,对吗? 这方面有很多不同的分析。 但我们已经做到了这一点,如果我们需要访问一切,我们在这个过程中会自我脚步,对吗? 让我访问所有这些东西,对吧? 给我一个你能给出的最简单的比喻是,把所有的日志发送给我,对吧? 但您错过了30种不同的攻击,因为您有55 GB或PB的日志飞行到您的SIM卡中,而您只有6个人查看这些攻击。
汤姆·葛鲁普:是的。 因此,确定违规行为的目标,对吧?
Matt Fryer:是的。 你想要一切,我们给你,但你不能用它做一切,因为你没有能力去做,对吗? 因此,也许可以退一步,开始了解您可以做什么,然后对其进行分析,然后获取您需要的访问权限。 所以,我们开始看到这种转变,对吧? 在一个行业中,您总是得到一切,而安全行业却得到了一切”因为我需要一切”。 从来没有退步说你不能做任何你需要做的事情,因为你没有技术或人员来完成它。
汤姆·戈鲁普:是的,我一直在思考的有一点是证券,你知道,这是我自己工作的一个镜头,我想安全只是一个补丁。 最后,安全只是一个修补程序,要么是人类做的事情,坏的配置,点击了错误的链接,编写了一些坏的代码;安全只是一个修补程序。 我们如何了解您,我一直在思考的是零和预算的安全方法。 利用现有资源。 首先,在我们开始添加所有这些层和添加其他软件之前,我们反复看到这些问题正在成为一个问题。
Matt Fryer:我的意思是,你崩溃了经济,然后没有任何预算,你想办法去做最好的事情。 你得到的不是答案。 这是一个好问题。 我认为,甚至在五年前,我们就好像看到安全程序开始吞噬更多的IT堆栈,对吧? 在过去的许多生活中,我看到安全部门有其细分。 我运行SIM,运行IDS,运行IPS,运行应用程序安全,运行防火墙和其他功能。 当他们发现网络和安全的融合时,我要说的是充分了解实际的石油和水资源,但您会看到网络和安全的融合融合,或者IT和安全融合在一起,您会看到这种融合会吞噬更多IT正在做的事情,因为他们觉得他们必须在这样做时保护它,对吗? 你会发现这需要越来越多的时间。 最终你们只会成为一个小组,对吧? 您将成为一个平台,一个安全IT组织,对吧? 这就是如果你给它足够长的时间,它就会是这样的。 但我想一旦你不再说我需要一个个人的技术或个人来解决一个问题,你将开始摆脱这种需要,总是有这些不同的技术层来完成所有这些事情,对吗? 因为您试图用一种技术解决一个问题。 我们已经做了这么长时间了,而业界一直在为我们做,对吧? 我们有销售一种技术的供应商。 这就是他们所做的一切。 他们是最好中的最好的。 让我们去买吧,对吧? 但您会看到,在未来五年中,您可能会看到组织,安全程序会说,我会停止这样做,开始构建平台,对吗? 我需要解决100个问题的东西,而不是解决一个问题。 在这样做的过程中,您将看到该安全程序的层次减少。 同时,我也不是这方面的支持者。 我要设置桌子。 有,我得到了一个喉咙来窒息某种心态,对吧? 单一的真相来源。 您正在开始缩小堆叠范围,使管理这些事情变得更加容易? 购买一项技术或雇用一个人来解决一个问题的想法很快就消失了。 您开始看到许多平台正在发生,或围绕多个问题进行大量团队建设。 因此,您将拥有一个网络安全团队,而不是拥有一个应用程序安全,网络安全,某些网络服务安全团队,发布团队,以及所有这些组成部分的网络安全团队。 因为所有这些人的凝聚力都能降低风险,而且还能降低财务开销。 所以,有很多事情发生在减少层次的原因有很多。 在10,000英尺处,解决财务问题。 这样做会更便宜。 然后另一个,另一个大问题是效率问题,对吧? 当您有一个大平台做一件事时,它会变得更高效。 当您有一群人在一个小组中处理一堆不同的事情时,这些事情会变得更加高效。
Richard Yew:你知道,就像谈到平台化一样,它对我的心目中非常接近和珍爱,我认为它与你所说的非常一致,你知道,我们发现我们有这个术语,你知道,早在那个时代,我们就把它叫做DDoS悖论。 从本质上讲,您有一个组织非常担心您的可用性问题,对了,DDoSed。 你太害怕下去了。 您开始在这里和那里购买最好的品种产品,以菊花链方式将它们连接到一列火车上,让您的所有东西都经过了。 然后,您最终会发生什么,您添加延迟,添加单一故障点,添加专业化,并在整个链中创建多个总线因子。 当你这样做的时候,你最终会遇到自发的中断,然后回到你试图解决的第一位的最初问题,对吧? 你知道的,一层证券,你知道的,就像它们可以是一层安全,喜欢做的事情,但它们必须是有意义的。 它们必须以某种方式进行设计。 他们必须共享数据。 它们必须位于同一控制窗格中。 他们必须由具有冗余和管理的团队进行管理,这使得它成为一个平台,对吧? 我真的认为,当我们开始看到越来越多的行业朝着这个方向迈进的时候,这一切都是为了创建一个平台,这样就不是为了获取最好的同类产品,而是试图找出如何更新变革并创建所有这些非功能性要求和流程来确保这一切不会下滑。 这一切都是为了拥有合适的平台和合适的人员,然后看看什么是合适的解决方案可以插入。 你甚至不需要,在你知道的第一个地方,就像我引用伊隆马斯克,他们总是说从不优化不应该存在的零件在第一个地方删除它。
Tom Gorup:是的,您应该首先删除,因为您也提出了一个很好的观点,尽管当我们再次回到这一全球IT中断时,我们谈论的是CrowdStrike。 他们是Microsoft的错吗?他们是错了吗? 我们在这里开始谈论的是,这些解决方案的架构师,对不起,他们用另一种方式说,Microsoft和CrowdStrike的客户在实时环境中部署了CrowdStrike来执行实时更新。 因此,您有一个二进制文件,它具有根级别,内核级别的访问权限,并且可以访问因特网,可以在生产系统上运行所需的任何内容。 那么,当我们考虑平台,考虑可用性,冗余和备份时,就像所有这些都是如何发挥作用的? 我们在哪里呢? 我们如何思考这个问题?
Matt Fryer:所以,我认为在安全方面,我们真的很喜欢技术。 我们真的这么做。 我想我们花了很多时间。 我们是修行者,就像我们生活的地方,对吧? 工具就是我们经常需要一段时间,至少在我们的职业生涯中,比如我花了很多时间在工具上,对不对? 我花了大量时间部署,设计,保护和构建它们。 我在工具上花了很多时间,在我的职业生涯中花了一段时间才开始工作,嘿,我从工具上退了一步,了解到有一个人才和流程,对吧? 因此,我认为,当谈到工具本身时,首先我们需要从工具中退一步,然后说,从流程中的人的角度来看,这个问题是全球IT中断。 这是工具问题还是流程中的人员问题? 还是两者都有? 因为我想我们花了很多时间专注于,特别是当你看新闻,媒体和正在发生的事情时,所有的人都在谈论发生的事情。 他们谈论的是CrowdStrike的错误还是Microsoft的错误? 为什么CrowdStrike的技术支持XY和Z? 你看到有些人在谈论这个问题,但这里也有流程问题,对吧? 就像作为安全计划的一部分,您有一个信息安全团队,负责处理流程和策略,并了解您如何开展工作。 一旦您拥有了一个有意义的体系结构和设计,那么您的体系结构和设计就会随着这些流程和策略的成熟而进行调整和克服。 所以,这是一个不能排斥在另一个。 那么,当我们说,在这种全球IT中断的情况下,我们会从技术本身中夺走什么? 我认为我们必须首先从整个过程中发生的流程政策和人员开始,对吧? 那么CrowdStrike发布时是否存在流程问题? 毫无疑问,毫无疑问。 存在测试问题,存在QA问题,就流程而言,存在发布问题。 有一个审批问题,那个东西是如何获得批准,以获得释放的方式. 然后在客户方面,就像您没有处理类似的手动中断的流程。 您的设计和架构存在缺陷。 如果你有一切完全依赖,除非你是西南航空显然.
Tom Gorup:Windows 3.1没有受到影响。 所以,西南部很好。
Matt Fryer:是的,是的,西南完美的精细Windows像在这里,我们正在谈论我们需要如何变得更加成熟和西南航空公司设置了新的标准,不成熟和使用最古老的软件,你可以找到,他们解决了更多的问题。 不要全部更新,你会没问题的。
Tom Gorup:嗯,我想Delta也被指责了其中的一些,还有一些我一直读的文章,以及在CrowdStrike,Delta和Microsoft之间来回来回的文章。 因为我的意思是,最终我认为这是我们失去的东西,对吧? 一般来说,有人,人,所有这些都有人的元素,我们所做的一切。 最后,我读了一篇文章,其中一位女士和她的丈夫正在度假,他们的假期又延长了七天,因为Delta取消了,对吧?
Richard Yew:听起来像一个好问题,
汤姆·戈鲁普:如果你能负担得起的话。 因为我,你知道,他们的回应就像是他们的政策是30美元一天。 好吧,你每天30美元能得到什么? 这些天,麦当劳给你们两个人花费了30美元,但我想我们失去了一个人为因素,就像我们失去了自己的工具,工具,工具,解决这些问题,然后我们忘记了,我们为谁解决这个问题? 就像真正喜欢的想法一样,想想那些受到我们决策副产品影响的人。 当我们采取这种行动时,我们是否会思考这一点?
马特弗赖尔:我们有一个家人朋友在亚特兰大。 如果你能想象一下,当所有这些事情都发生了,亚特兰大,就那些工作的人而言,如果他们不知道,亚特兰大是航空公司的主要枢纽,对吧? 这是美国最大的一家。 所以,她的飞机基本上延误了,在那里坐了两天,还是延误了,然后说,好吧,我们已经等不及了。 让我们去租一辆车。 好吧,没有更多的租车,因为每个人都有一辆租车。 所以现在他们正在尝试弄清楚所有这些东西。 所以,一个单一的把它带到个人层面,对吧? 因为当您做出这些决定时,可能会变得很困难,这会对人们产生怎样的影响? 有这么多,你可能会迷路,这可以是多么的普遍或全球性的影响。 有时候你只需要把它带到一个个人的水平,并将它嫁给你的人说,好吧,如果我做这个决定什么影响半好,苏西可以被困在机场前几天可能无法得到租车。 她睡在机场的地板上等待她的航班重新安排。 为什么会发生这一切呢? 这是因为我们决定推进更新,或者我们决定在我们的架构或监管机构中变成平坦的,认为每个人都可以访问内核是公平的。 或者,你知道,所有这些决定无意中对这个人产生不利影响。 我们有没有停下来思考为什么呢? 最简单的例子是,嘿,像访问每个人,访问内核,谁能提供帮助,对吗? 就好像,我们必须公平对待,因为Microsoft只会将Defender推出给每个人。 这不是市场的运作方式,对吧? 是的,我绝对会有后卫,但我可以指望有两只手和九只手指有多少人不喜欢微软,对吧? 所以,你说的对,你在平坦的竞争环境,但一半的市场反正会买到CrowdStrike。 所以,你说CrowdStrike必须有内核访问,公平的竞争环境? 市场将购买他们想要购买的东西,不管它是否具有内核访问权限。 我认为你在那里创造一个人为的公平竞争环境来做你认为正确的事情。 不管怎样,它们在大多数情况下都是如此。 但没有意识到做正确的不利影响,你这样做会产生影响。 你知道我的意思吗?
Richard Yew:你知道,就像所有的对话一样,在博客和Reddit帖子里,我,你知道,谈论谁的过错,发生了什么,像谁,谁,谁,谁走得更糟,不管怎样。 但到目前为止,我还没有遇到一篇文章谈论成本. 我的意思是说它的成本是多少,每个人需要多少小时去像手动放入启动盘,你知道,像修复手动更新,带回那些蹄子,对吧? 但是,我们如何量化人们的影响,就像后期陷入困境一样。 我的意思是,这影响到医院,这影响到911急救服务,对吧? 有了这一点,成本是多少,对吧? 到目前为止,我怀疑要花很长一段时间才能弄清确切的影响。 我认为你不能用金钱来量化它,对吧? 当然,我在诉讼或集体诉讼的金额中,有多少钱是分配给一切的。 但我认为终生损失的影响,潜在的生命事件,将发生与潜在的可能性是无法量化的。 最后,如果我们做得不对,我们就会影响到那些人。
汤姆·葛鲁普:是的,100%。 因此,我看到受此更新影响的计算机数量从350万到800万不等。 记住这是在79分钟。 所以,他们在UTC凌晨4点左右推出了更新,在79分钟内就耗尽了800多万台计算机,对吧? 壮观的活动。 我的意思是,为了什么?
Matt Fryer:高效。
Tom Gorup:他们推出了新的更新。 令人惊讶的是,他们能够在这么短的时间内触摸800万台电脑。 我认为,部署就像在一分钟之内,他们就能够完成所有这些任务,然后随着早晨的推移,这些机器开始上线,你知道,这就是影响所在。 但是的,这是一个巨大的成本。
因此,在结束之前,我们还会再问两个问题。
其一是我们认为对安全的影响,以及安全行业的声誉对这一点也有何影响。 在执行级协议中,我们看到或看到在技术中引入新的安全工具时,还有什么犹豫?
马特·弗赖尔:我不会说一个巨大的。 我想你会看到这些大的红旗,你知道,继续下去。 人们总是喜欢啊,太可怕了,对吧? 你知道,我读了很多,我想你看到了很多专业人士,这些人已经在这个行业工作了足够长的时间。 我说,哦,你能想象一下CrowdStrike的成本是多少,CrowdStrike的成本是多么糟糕,Blah, Blah, Blah, Blah, Blah, Blah, Blah, Blah,然后谈谈CrowdStrike的成本是多么糟糕。 然后你会听到一些小声音说,是的,但是CrowdStrike为你拯救了多少,对吧? 他们已经存在了很长一段时间。 他们在多少年里发生过一次事件,对吧? 我的意思是,他们已将许多公司从大量恶意软件,勒索软件和大量漏洞中拯救出来。 因为CrowdStrike,所以保存了很多东西。 所以我们常常迷路,但忘记了这一点,对吧? 所以,很多这些技术再一次,你只能和你上次的漏洞一样好,但你会得到很多这些战略家,他们的本质非常冷静。 许多管理人员不喜欢对他们的环境产生严重的膝关节反应。 我不知道很多CISO就像,嘿, CrowdStrike被破坏了,让我们立刻把它撕掉,对吧? 我认为是否会有负面影响。
Tom Gorup:我想伊隆做了。 我很确定我看到了一条推特,也许伊隆做了。
马特·弗赖尔:所以,我喜欢伊隆,他有数十亿。 他能做到这一点。 做出这种改变的代价非常昂贵。 真的是这样。 说我要淘汰一项技术是非常昂贵的,因为他们拥有这项技术。 现在,您的安全计划的供应链管理方面有了一个新的检查。 我想你会看到变化,你知道风险和风险转移,并强调,你知道,你的供应链可能给你带来的一些事情。 因此,您可能会看到一些高管在新合同中退回一步,因为他们的供应链正在更新和推出新合同。他们说,嘿,我们需要从这些组织中的每一个组织那里得到一些保证,当这些事件,这些全球性事件,这些事件不断发生时,我们需要在这些合同中有一些保证,您知道,我想您会看到很多风险。 我不认为这不会损害我们,无论何时我们花费我们的整个安全人员只是像上次违反一样好. 就好像你会看到这种循环,我们会花一两年时间从循环中恢复过来,但我认为它们会对整个过程产生定性和定量的影响。
Richard Yew:多年来,有一些这样的事情,对吧? 我们一直在努力确保安全。 我们曾经是”不”的组织,对吧? 因此,现在我们正在努力描绘它,并与业务安全部门合作,当做得好时,我们总是说安全就像是超级跑车上的一个很好的强力突破,对吧? 它允许你加速和快速移动,因为你可以硬刹车,对吗? 但现在显然会出现一些信任问题,对吧? 因为它对没有帮助,我们总是会说,嘿,我们来这里不是为了放慢业务速度。 我们在这里不是为了增加业务的复杂性和问题。 但很明显,您说过,会有一些信任问题,但接下来看看您的工具对我有何影响。 好吧,我不认为任何人都不会再像安全需求那样改变这种情况。 但这并不有助于故事,人们仍然有这样的看法,嘿,这个家伙只是试图让我的生活艰难。 当然,我们还有很多工作要做,让我们的非安全同行相信,嘿,我们不会放慢您的流程。 我们在这里不是要对您正在做的事情说”不”。 我们随时准备帮助您更快地跑步。 我们正在尝试实施DEVSECOPS并拥有安全的CI/CD管道,因为我们希望您在第一天就能更快地编写代码。 您不必像在事后那样对新的安全工具进行拍打,对吧? 当然,这种事件让我们有点后退。 但我确实认为,行业确实认识到,即使时不时发生垃圾事件,但安全并不是为了不放慢业务的速度。
Tom Gorup:太棒了。 是的。
马特·弗赖尔:最好的比喻,最好的说法,你可以给. 就像你所说的那样,它就像点燃了。 Tom将会微笑。 我知道他要微笑。 有一句话是我一直用的,特别是在操作方面,它可以帮助我们轻松地开展工作。 慢速是平滑的,平滑是快速的。
汤姆·戈鲁普:没错。 平滑是快速的。
Matt Fryer:这是最简单的方法。 我要放慢你的速度,但你要快得多,对吧?
汤姆·戈鲁普:是的,这是一个很好的问题,我想说,这里的最后一个问题。 我认为这是橡胶在路上的交汇之处。
理查德,我们能从中学到什么? 我们还能做得更好吗? 我们想到的是什么,就像什么一样? 我们能从中学到什么?
Richard Yew:嗯,我们学到的是,安全性是每个人的业务可用性,而不是时间。 这是每个人的问题。 仅仅因为某个供应商让您下跌并不意味着其他人不承担责任。 这可以追溯到像应该指向谁的手指,对吧? 我想,就像我说的那样,它是全面的。 思考您的流程,人员,流程,技术。 这一切都携手并进。 为什么Microsoft需要这样做? 如果我们最终通过用户空间推广这些东西,像这样的CrowdStrike需要有一个更好的过程。 他们是否需要实施金丝雀推出,当您接触到数百万代理商时,这应该是一个标准,对吗? 那么,企业是否需要实施正确的流程? 以确保你解释这种世界末日事件。 所以,对我来说,你不能在一个单一的维度上看待事物。 如果有任何行动号召需要在供应商之间和您自己之间联合行动号召,则必须将事情视为清单。 它不应该是微软只是在真空中工作。 Microsoft应与CrowdStrike及其客户一起工作,并确保他们在未来创建弹性。
汤姆·戈鲁普:爱它! 我认为这是一个很大的收获,你知道,更多地合作。 我们经常看到供应商在这些孤岛中工作,而不是互相介绍,这是一个很好的选择。
“怎么样?
马特·弗赖尔:是的,我认为这是沿着这些路线的,对的。 我认为,采取行动的主要呼声不是摆脱安全。 这是一个更努力地倾向于它的一个步骤。 我认为当我看到这些事情发生的时候,我的带走并不是像,哦,我们真的得到了,你知道,去最少的特权,真正开始,你知道,削减这些人在做什么,哈哈,哈哈,哈哈。 这不是我的反应。 我的反应是,好的,我们遇到了可用性问题,让我们深入探讨一下,对吧? 它将进一步深入到安全的另一个部分,并解决问题。 我认为,这就是行动号召,即退一步,了解您正在对您的计划做什么,对吧? 这是什么给你造成了一个巨大的问题? 你的后退是否应该是什么? 我的一个流程和政策围绕这个三角形的其他部分,以确保这样的事情发生时,我有一个更好的反应。 我不能告诉你,我在我的职业生涯中接到了多少个电话,因为某人的BCP是垃圾,对吧? 然后他们责怪其他人。 这就像,哦,它是如此,也是过错。 啊,帮助台单击了链接。 “我不能接受,我不能接受。” 好了,你已经关掉了两周了。 嗯,是的,单击链接是他们的错,但他们的错是什么?您花了两个星期才从它恢复过来,对吧? 因此,我认为,对于许多这些组织来说,对于我们作为领导者,对于供应商本身来说,行动的号召就是退后一步,分析您在安全方面的工作方式,并针对发生的事情进行调整。 总有事情会发生。 每个人都担心黑帽。 黑帽子是什么。 这是窗帘后面的恶魔。 这是供应链。 有黑帽,有一个供应链是另一个大恶棍。 我所有的供应商都只是试图出售我的数据,或者他们只是试图崩溃。 走一步,男人。 你的行动号召就是走了。 我们都应该对我们的计划进行年度审查。 这是行动号召。 回顾您的计划。 找出你的差距,因为你有这些差距。 无论你相信与否,你都有差距。 退一步并回顾它。 看看它,理解它,看看你的合同. 成为法律部门最好的朋友,这会有很多事情发生在这里。 我不想离开它。 它将成为任何人的解决方案。 我不是一个恐慌的按钮家伙。 我想汤姆知道我从来没有在恐慌按钮上猛烈抨击。 所以,那些正在打恐慌按钮的人去,男人,火CrowdStrike。 我认为这可能只是从情绪到分析的回应,对吧? Jerich是一个负责废物管理的CISO,我在LinkedIn上读了他的资料,我觉得他是100%对的。 CrowdStrike解决了很多问题,现在没有人承认这一点。 他们只是在说CrowdStrike,坏家伙,坏家伙。 这就像是,不,它被分析了。
Tom Gorup:
是的。 我认为,正如Richard前面提到的,安全是每个人的问题,也是机构的每个部分,无论是IT,工程,安全团队本身,人力资源和财务,就像每个人都需要参与其中,并真正认真,认真地看待。
嗯,我们在马克是真棒的重球。 我觉得这是一次很棒的谈话。 我可能还能继续至少45分钟,但我知道你们两个人都有位置。
所以,我很感激你参加节目,马特。 再一次,谢谢,理查德。
感谢您的聆听。 住的很开心