IT环境多样性:供应链安全和网络弹性之源!

admin 2024年8月1日11:07:08评论15 views字数 2381阅读7分56秒阅读模式

依然还是基于 CrowdStrike 导致 Windows 大规模蓝屏这个事件。这次事件的规模之大,影响之重,值得在多种不同的角度对照反思。

初中的生物课专门讲授了一个知识点:人工林比天然林更容易发生病虫害。原因是人工林树种比较单一,导致人工林生物种类少,食物链条数少,结构单一,病虫害发生后蔓延速度快,影响深,损失大。

对比这次 CrowdStrike 一个内容更新就导致几乎是全世界被动集体罢工的事件,不无相似之处。

IT环境多样性:供应链安全和网络弹性之源!

笔者:

国际认证信息系统审计师(CISA)

软考系统分析师

软件工程硕士

这次我国能基本置身事外,大方向上是我们设定了独立自主的道路,具体上就是我国的IT环境尤其是网络安全的生态已经建立了有自己特色一套。

放到生物学上看,就是我国的IT环境生态是全世界尤其是西方国家以 Microsoft Windows 占绝对地位所构成的IT环境生态,这个单一树种人工林中的其它且有活力的树种。

所以,当这片人工林遭遇到集体性的侵害因素的时候,我们自己这片依然屹立不倒。

而且,他们连网络安全细分逐渐丧失多样性而趋于中化,否则不应该只是一个安全公司的错误,就能导致如此大面积的

那么,如何把大环境的有效态势转化为自己所在的企业组织的积极态势呢?

生态圈不仅有分层关系,还有整体和局部的关系。所以笔者认为,每一个企业组织,其实都需要在内部建立起自己的具备多样性的IT环境。

具体措施上,需要结合到IT环境的韧性安全与弹性安全建设,尤其主要是软件供应链安全这个关键点上。

IT环境的韧性安全与弹性安全,又称为网络弹性[1],是和网络安全有区别的,简单说就是更重视IT环境“能否带病运行”

这就和自然林和人工林面对病虫害的不同表现,有很大的相似性。

具体在美国国家标准与技术研究院 NIST 提出的 SP800-160 中,对网络弹性工程概念定义了6组相关特性:Reliability, Security, Privacy, Fault Tolerance, Sefety, Resilience & Survivability[2]

如果把这6组特性套入到IT基础环境中比对分析,可以发现,如果IT环境的构成基本多样性,在这6组特性中即使只谈可靠性 Reliability,也肯定会比单一环境要高。

就如本次蓝屏事件,如果相关企业备有50%比例的非 Windows 设备,虽然负荷能力肯定不足,但起码还不至于全面瘫痪。

本篇作为随笔,不谈渔只说鱼,接下来笔者就多样性应如何实现,天马行空发散一下:

一、安全软件的多样性

这次蓝屏事件的直接原因是终端(含服务器)安全软件的 BUG,鉴于安全软件的特权性质和覆盖性安装的特点,出问题时影响必然是普遍性的。

但如果这次涉事企业,内部部署的不是只有 CrowdStrike 一种安全软件,比如在 50% 使用 Windows 的基础上再对 50% 的设备交叉使用其他终端安全软件

IT环境多样性:供应链安全和网络弹性之源!

出问题的比例,就只有25%了!

起码75%的设备能正常运行,这个负荷能力,基本可以满足维持业务运行。

总不可能一点余量都没有吧,否则连业务高峰都应付不了。

其实,如果读者是对终端安全软件的误杀和漏杀历史有所了解,都应该明白部署两套终端安全软件所能起到的互补作用。

但必须不是一台终端装两套终端安全软件这么傻!

二、操作系统的多样性

Windows 就不用再说了,但国产化进程下,选择何种操作系统,也同样需要考虑多样性因素,比如:

1、在企业组织内仅采用同一种国产操作系统是否恰当,尤其是如果都源自同一个上游社区版本?

2、再具体地,如果国产操作系统可选 KERNEL 版本,是否可以视业务系统的情况,区别选择多种 KERNEL 版本而不是集中都是同一个版本?

三、其它基础软件的多样性

实中,大多数信息系统尤其是定制建设的信息系统,是会在建设实现的过程中和中间件、数据库等基础软件的具体选型绑定的。一般只有商品化的信息系统会考虑能支持多种不同的基础软件。

那么,现在是否可以:

1、把基础软件多样化在信息系统定制建之前给予考,比如最容易实现的,就对不同用途的信息系统区分使用不同的基础软件?

2、进一步地,是否能够要求软件供应商开发实现中间件无关、数据库可替代的信息系统?

四、国产化硬件的多样性

众所周知,硬件多样化是运维的噩梦,所以硬件趋同几乎是所有企业组织IT环境的自然选择。

但从供应链安全角度,是否也可以考虑一下:

1、比如国产CPU,是否可以选择至少两个不同架构的厂商,以避免出现某种架构无力维持的风险?

2、比如设备整机,是否可以选择至少两个不同的厂商(服务商),以避免出现运维服务中断无继的风险?

五、结论

最后笔者的结论就是,IT环境构成的多样性可能是确保软件供应链安全、实现网络弹性所必须的。

肯定会有读者想,你弄得这么复杂,成本就已经是大问题,还可能增加了风险因素哦。

其实笔者从来都是一个观点:

从来都没有免费的午餐的,花多少取决于想吃什么,以及怕不怕吃完之后拉肚子。连这点实事求是的逻辑都没有,还办什么企业。

还可以看看这些内容:

国产化替代:观察漏洞修补的及时性以供应链关系选择操作系统

攻防演练与蓝屏:此时不推进软件供应链安全管理,更待何时

蓝屏不会是最后一次:盘点杀毒软件反杀操作系统的历史和警惕钓鱼网站

点赞和转发都是免费的↓ 

参考引用

[1] 深入研究网络弹性

https://www.secrss.com/articles/31820

[2] NIST Special Publication (SP) 800-160 Volume 2, Developing Cyber Resilient Systems: A Systems Engineering Approach

https://csrc.nist.gov/publications/detail/sp/800-160/vol-2/final

原文始发于微信公众号(wavecn):IT环境多样性:供应链安全和网络弹性之源!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月1日11:07:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   IT环境多样性:供应链安全和网络弹性之源!http://cn-sec.com/archives/3021363.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息