Crowdstrike 推送了一个错误的内容文件,导致全球中断。很多其他地方都对此进行了详尽的报道,因此我就不多说了。
我感兴趣的是,公司延迟自动更新的政策是否能够遏制中断。
Crowdstrike 可以设置策略,将 Falcon 传感器版本限制为 n-1、n-2 甚至特定版本。因此,您可以指定测试组获取最新的传感器版本,并指定生产组获取稍早的版本。
这是用于其他类型修补的常见做法,例如 Windows 更新。我知道信息安全产品的速度必然更快,但也许某种形式的审查是可能的。
导致问题的文件被归类为“内容文件”,因此传感器更新策略可能无法阻止它。
另一方面,Dave Plummer 的 Youtube 视频表明 Crowdstrike 正在使用内容更新来修补传感器代码,而无需每次都经过 Microsoft 的驱动程序审批流程。而且传感器版本号似乎确实增长得相当快。因此,这些政策也有可能控制内容更新。
那么,我们可以说,如果 Crowdstrike 客户在批准在公司内部全面发布之前,已经建立了一个程序来针对传感器更新测试机器,那么中断就可以控制在测试组中吗?
与他们的支持人员进行了交谈,Falcon 版本不会延迟内容更新,因此拥有 n-1 的用户仍然会受到影响。
可能不是,这取决于应用程序所有者的身份以及 CrowdStrike 和安全产品的一般更新理念。
这些产品通常频繁自我更新,几乎没有正式沟通。这(主观上)与通用应用程序主要或次要二进制更新不同。
供应商及其组织中的同行并不是训练有素的 ITIL 从业者,而且永远不会是……
大约七年前,我遇到了与 Trend Micro 类似的事件。他们发布了一个更新,导致我们拥有的每个 Windows 集群都崩溃,因为它干扰了对集群名称对象的查找。我们当时正在与 70 人进行电话会议。
当微软打来电话时,他们立即告诉我们,其他几个使用相同产品的客户也遇到了同样的问题......
幸运的是,没有多少组织拥有该产品。
这不是传统的产品,客户可以通过降低风险和识别意外情况来规划和准备更新。该产品由供应商共同管理,他们采取的行动客户并不知道。
从某种意义上说,这更像是一种服务,而不是产品。对实施和管理的关注应该通过合同来加强,或者选择不同的解决方案或服务。