Lärdomen av GitHub DDoS-Attack: Varför Ditt webbhotell Frågor

Adam Stern

Adam Stern

Författaren: Adam Stern , VD och grundare av Los Angeles-baserade webbhotell Oändligt Virtuella.

att Överleva en cyberattack är inte som att rida en Cat 5-orkan eller kommer via en 7.0 jordbävningen oskadda. Genom att naturkatastrofer alltför ofta har fruktansvärda konsekvenser, det är också en “rätt plats i rätt tid” – element för att göra det genom. Cyber-katastrofer – som kan vara lika förödande som på sitt eget sätt som handlingar av natur – brukar inte böja på element av slump. Om du kommer ut på andra sidan intakt, det är nog ingen tillfällighet. Det är i stället resultatet av specifika val, verktyg, strategier och metoder som kan kodifieras och tävlat – och som behöver förstärkas.

Se de senaste fallet av GitHub, målet för den största DDoS-attack som någonsin registrerats. GitHub: s erfarenhet är lärorik, och kanske den största takeaway kan uttryckas i fyra enkla ord: Ditt webbhotell frågor.

Det är särskilt viktigt om säkerhet. Cloud security är inte som att fylla i en ansökan om arbete, det är inte en fråga om att markera rutorna och rör på sig. Bit för bit förhållningssätt till säkerhet helt enkelt inte fungerar. Lappning hål eller att rätta felet, och sedan sätta den “bakom” dig – det är knappast grejer som effektiv säkerhetspolitik är gjort. Eftersom säkerhet är ett rörligt mål, scattershot reparationer ignorera hundratals eller tusentals poäng av utsatthet som en strategi för fortlöpande övervakning kan hjälpa till att lindra.

Alla cloud provider värt sitt salt leder till uppgift en falang av beprövade verktyg, rutiner och tekniker som säkerställer en kontinuerlig drifttid, regelbundna säkerhetskopior av data redundans, kryptering, antivirus/anti-malware distribution, flera brandväggar, intrångsskydd och dygnet-runt-övervakning. Så även om data är betydligt säkrare i molnet än strandade på utrustning under någon annans skrivbord, det finns inget substitut för aktiva vaksamhet – accent på aktiv, eftersom vaksamhet är både ett tänkesätt och ett verb. Om detta tänkesätt: god säkerhet kräver planering bedöma hot, välja verktyg för att möta dessa hot, för att genomföra dessa verktyg för att bedöma effektiviteten hos de verktyg som genomfördes, och att upprepa denna process på ett löpande.

Bland de delar av en grundläggande cybersäkerhet rutin: ange lösenord löper ut, erhålla certifikat, undvika användning av publika nät, möte med personalen om säkerhet, och så vidare. Perfektion i kampen mot it-angrepp är så gäckande här som det är i någon annan strävan. Även så, att det kan inte vara ett argument för att complacence eller något mindre än maximal due diligence, som backas upp av de mest kapabla teknik på varje organisations förfogande.

I detta evenemang är en bakvända lektion om vem och vad som är mest sårbara under en hacka. Erfarenhet av offentlig moln leverantörer bör sätta för att vila den uppfattningen att molnet är inte säker. GitHub erfarenhet gör ett övertygande argument att molnet är i själva verket den säkraste platsen att vara i en cyber orkanen. Interna IT-avdelningar, fixerade vid sina egna mixology, kan påverkas stor-tid – som de var i ett antal av den senaste tidens ransomware attacker — att höja den mycket berättigade frågan varför vissa rulle-dina-egna organisationer ägna dyrbara resurser, inklusive Bitcoin, att dessa avdelningar i tron om att molnet är en snakepit.

Cloud security är inte vad den brukade vara – och det är en djup komplimang till molnet branschens mognad och förfining. Vad som en gång var porös är nu betydligt bättre på alla sätt, vilket inte är att förneka det dåliga aktörer har höjt sitt spel samt. Vissa aspekter av moln migration har alltid varit att hota med att det gamla gardet. Här och där, leverantörer och övriga medlemmar i IT-samhället har fostrat missuppfattningar om säkerhet i molnet – inte i ett försök att omintetgöra migration, men i ett försök att kontrollera den. Rädsla bränslen både förvirring och beroende.

Tyvärr, medan etablerade cloud security protokoll ska vara en standard fråga saker, de är inte. Den konventionella visdomen är att en cloud hosting-företag är samma som en annan, och att eftersom de har förbundit sig till livet utanför lokalen, som de alla måste göra exakt samma sak, deras funktion ställer du är utbytbara, och den underliggande arkitekturen är oväsentligt. Budskapet är, det spelar ingen roll vilken utrustning de använder — det spelar ingen roll vilka val du gör. Men faktum är att det gör det. Tänker aldrig analytiker, cloud computing är inte en handelsvara affärer. Och never mind the Street, investerare och Vissa Andra som innerligt vill att det ska vara en handelsvara, men eftersom de Vissa Andra går av namnet på Microsoft och Amazon, bråkat historien kommer inte att kunna flyga. De vill ta affärer på priset och göra massor av pengar på volymen (vilket de är).

tryck för att minska och förenkla drivs av en kombination av marknadsföring experter som är obekant med teknik och industri förståsigpåare som anser att allt som kan ritas på en tvådimensionell karta. Tjänsteleverantörerna försöker att leverera produkter som inte nödvändigtvis passar formen, så det är ytterst meningslöst att pressa teknik i två eller tre dimensioner. Dessa nya lösningar är mycket mer nyanserad än så.

– Leverantörer måste till nivå med användare. Djävulen är verkligen i detaljerna. Det finns bokstavligen hundratals beslut att fatta när utformning av en lösning, och dessa val innebär att varje lösning är inte en handelsvara. Digital omvandling inte kommer att uppstå från några marknadsföring planmässighet, men från och med teknik som gör cloud computing säkrare, mer tillgänglig och mer kostnadseffektiv.

Adam Stern är VD och grundare av webbhotellet Oändligt Virtuella (@IV_CloudHosting), ett företag baserat i Los Angeles.