美網安局長批CrowdStrike更新缺陷:這是一個嚴重的錯誤
美國網絡安全和基礎設施安全局(CISA)局長珍·伊斯特利(Jen Easterly)當地時間7月20日就全球大規模IT故障發表評論稱,該事件是由Crowdstrike的Falcon平臺的缺陷更新引起的,這引發了全球某些版本Windows系統的大面積崩潰。這是一起嚴重影響全球關鍵基礎設施運行的重大事件。雖然這不是惡意的,但這是一個嚴重的錯誤。
伊斯特利說,美國的關鍵基礎設施高度數字化、高度相互依存、高度互聯、高度脆弱,而這在很大程度上要歸咎於脆弱的軟件生態系統,該系統歷來不重視安全性,而偏重於功能和上市速度。具有諷刺意味的是,像Crowdstrike和其他網絡安全供應商這樣的公司存在的一個原因,就是爲那些漏洞百出的軟件提供安全保障。
但伊斯特利也表示,這不是微軟的問題。她說,任何公司在設計、測試和交付任何類型的軟件時,都應優先考慮大幅減少缺陷的數量—這些缺陷可能被壞人有意利用,也可能無意中導致全球關鍵服務癱瘓。伊斯特利說,因此各級政府和各種規模的關鍵基礎設施組織都必須加倍努力提高抗性,確保有效應對和快速恢復的能力,最大限度地減少對關鍵服務的干擾。