美网安局长批CrowdStrike更新缺陷:这是一个严重的错误
美国网络安全和基础设施安全局(CISA)局长珍·伊斯特利(Jen Easterly)当地时间7月20日就全球大规模IT故障发表评论称,该事件是由Crowdstrike的Falcon平台的缺陷更新引起的,这引发了全球某些版本Windows系统的大面积崩溃。这是一起严重影响全球关键基础设施运行的重大事件。虽然这不是恶意的,但这是一个严重的错误。
伊斯特利说,美国的关键基础设施高度数字化、高度相互依存、高度互联、高度脆弱,而这在很大程度上要归咎于脆弱的软件生态系统,该系统历来不重视安全性,而偏重于功能和上市速度。具有讽刺意味的是,像Crowdstrike和其他网络安全供应商这样的公司存在的一个原因,就是为那些漏洞百出的软件提供安全保障。
但伊斯特利也表示,这不是微软的问题。她说,任何公司在设计、测试和交付任何类型的软件时,都应优先考虑大幅减少缺陷的数量—这些缺陷可能被坏人有意利用,也可能无意中导致全球关键服务瘫痪。伊斯特利说,因此各级政府和各种规模的关键基础设施组织都必须加倍努力提高抗性,确保有效应对和快速恢复的能力,最大限度地减少对关键服务的干扰。
(文章来源:界面新闻)
