CrowdStrike事件的綜合背景分析與對中國產業的啟示
以下文章来源于心智观察所 ,作者心智观察所
「藍屏事件」突然爆發後,引起全球震動,更深刻的警醒和反思仍在持續之中。心智觀察所就此次大規模藍屏事件背後的發生機制,國產操作系統自主可控等一系列問題,和安天董事長、首席技術架構師肖新光先生進行了深入交流和對話
心智觀察所:CrowdStrike是一家甚麼樣背景的企業,是怎麼實現快速崛起,在全球擁有龐大裝機規模的?
肖新光:CrowdStrike是一家以雲端和終端運算環境為主要防護目標場景、以威脅偵測對抗為基礎能力、以主機系統側安全為產品形態、以安全託管服務為先進運行模式的企業。綜合來看,CrowdStrike的崛起是自身進取、IT發展趨勢、資本佈局和美國政府旋轉門運作的綜合結果:
1)CrowdStrike在技術結構設計、運作理念和技術能力上的先進性是根本內因。 CrowdStrike的創業家曾在Big AV(註:即超級防毒軟體企業,是業界對卡巴斯基、賽門鐵克、麥克菲這批老牌防毒企業的統稱)防毒體系中經歷了多年的浸潤與搏殺,深度理解主機系統安全的運作機制和威脅對抗的基礎邏輯,同時又精確把握了先進運算架構的安全需求,把握了安全基石回歸主機系統和工作負載的機會窗口,前瞻性地選擇了以安全託管訂閱為核心運作模式的企業運作方式。其安全能力側聚焦主機場景,建構了下一代防毒、智慧主防和偵測反應、週邊管控、主機防火牆四大關鍵能力,並依托情報和惡意程式碼分析能力作為服務延展,強化綜合安全營運能力,技術規劃和演進路徑非常清晰,在威脅對抗中響應敏捷。這些都成為其崛起的內因;
2)先進運算環境的安全需求和系統側安全的回歸為CrowdStrike的崛起提供了歷史機會。在過去20年間,運算結構發生的一個重大變化是資產體係由原有的IDC伺服器-終端體系進入了以雲端運算為主導的先進運算結構,虛擬化、容器等新的工作負載承載形式不斷迭代。因應新興運算場景的安全需求,沒有Big AV時代的系統側安全底蘊則難以承載,但單純套用傳統防毒軟體的模式並不足以應付需求。同時,在資產雲化、泛在存取、通訊協定普遍加密的背景下,以防火牆等網關設備為代表的安全邊界的價值全面衰減,安全的基礎基石重回主機和工作負載一側,安全預算的結構也發生變化;加之美國整個的IT基礎場景相對集約化,提供了相對統一、集約的運行環境和場景,使CrowdStrike可以將研發資源聚焦在先進產品架構、威脅感知捕獲、威脅檢測獵殺和運行模式等價值主閉環上,加之矽谷本身包容創新的基本環境,這是其崛起的客觀條件;
3)CrowdStrike的崛起離不開美國產業和金融資本的全力助推。在美國網路空間安全的產業體系演進過程中,在個人運算革命的周期中,誕生了賽門鐵克、麥克菲、趨勢等為代表的面向端點的老牌殺毒企業;在資訊高速公路建設的周期中,興起了Netscreen、Fortinet、Palo Alto Networks等網關側的創業明星,系統側和網關側,形成了安全基礎能力的兩大陣營。在運算結構改變、威脅情勢快速演進的背景下,老牌防毒企業開始表現出技術架構落後、威脅反應的敏感度和銳利度下降的問題,而網關側企業又很難在短時間內快速彌補系統側安全基因的缺失,無論是大場景需求,或是產業能力完善、資本概念的需求,都迫切需要打造出一個具有新銳性的系統側安全明星企業,在此過程中Bit9、Cylance、Carbon Black也一度被資本追捧,但最終由CrowdStrike奪頭。這結果離不開強而有力的資本持續助力。身為CrowdStrike主要投資者的華平資本時任董事長曾擔任美國財政部部長,也是著名的反華政客。
產業和金融資本一直是美國全球產業競爭的超級後援團。例如在上世紀防毒產品的最初競爭格局中,美國企業產品能力並不在最高水平,歐洲軍團才是產品能力(特別是偵測能力)的翹楚。在這個過程中,美國透過壟斷資本的利益逐漸化解了歐洲的安全產品體系,如:在資本操盤下,由麥克菲收購了當時歐洲最大的防毒企業Dr Soloman。後來英國代表性的安全企業Sophos也被美國產業資本併購。
4)CrowdStrike的崛起亦有美國政商旋轉門的背景,與美國全球霸權佈局高度相關。 CrowdStrike有鮮明的旋轉門企業特點,其創業團隊成員和多位高管都有美國情報機構任職履歷,在其發展中,透過多次炮製抹黑中國的技術報告,為美國軍方和情報機構交上了“投名狀”,而美國政府也“投桃報李”,將CrowdStrike列為其在“向前防禦”戰略和對外產品輸出的一個重點層次,幫助其在國際市場快速崛起。
5)CrowdStrike沒有出現強力的國際挑戰競爭者,也與美政府直接打壓國際競爭者有關。
在商業競爭中,美政府相關部門反覆下場打壓其主要國際競爭者已經屢見不鮮。特別是對中俄廠商的干擾打壓尤為突出。
美情報機構NSA 從2010年制定的「拱形計畫」(CamberDaDa),陸續圈定了重點關注的全球23家可能發現和影響其情報活動的網路安全企業,其中約70%的企業在歐洲(17家),26%的企業在亞洲(6家),但沒有任何一家美國及「五眼聯盟」國家的網路安全企業上榜。
這個計畫最重要針對目標就是俄羅斯著名安全廠商卡巴斯基。卡巴斯基歷史悠久,技術長期領先,國際業務規模較大,品牌知名度很高。 2017年,美國國土安全部就以國家安全為由,發布指令要求「從所有聯邦資訊系統中刪除和停止使用卡巴斯基產品」;今年6月20日,美國商務部工業和安全局(BIS)宣布全面禁止卡巴斯基實驗室及其所有附屬公司、子公司和母公司在美國提供任何產品或服務,該禁令已於7月20日起正式生效。
我所工作的安天也對這種打壓幹擾有深刻的體會。安天是上榜CamberDaDa計畫中的唯一中國廠商,受此影響,我們在2013年後只能逐步停止了對美國安全企業的引擎授權業務。另外,因長期分析美方情報機構的攻擊活動,2022年我司被美國國會有關「中國網路安全能力」聽證會報告點名,致使我們進一步失去了相關亞洲國家市場。
心智觀察所:據分析,發生藍屏的主要功能模組CSAgent.sys帶有CrowdStrike和微軟的雙重數位簽章。微軟第一時間撇開關係,包括網路安全和基礎設施安全局主管也站出來給微軟月台。怎麼理解CrowdStrike和微軟在這次事件中各自該承擔的責任?
蕭新光:安天在《CrowdStrike導致大規模系統崩潰事件的技術分析》這篇報告中對本次藍屏事件進行了詳細分析,問題發生的機制是:CrowdStrike主防的核心驅動CSAgent.sys的模組在讀取、解析相關的設定策略檔案時發生異常,進而導致Windows系統藍屏崩潰且重新啟動後繼續藍屏的嚴重後果。這與CrowdStrike公佈的原因是一致的。 CSAgent.sys之所以帶有CrowdStrike和微軟文件雙簽,主要來自微軟對Windows的強制性核心模組和驅動的簽名需求。通常來看,軟體應用程式都可以去各個機構申請軟體證書,以形成可信任認證鏈,驗證軟體模組與發布側的一致性,對抗攻擊者對產品的竄改。但如果出現大量的攻擊者申請證書或入侵軟體開發者係統,竊取簽名證書,簽發惡意程式碼的情況,這些惡意程式可以作為有簽名的驅動和內核模組來加載。針對此,微軟形成了一套自身的憑證簽發管理機制。強制要求驅動和核心模組同時需要微軟的簽名才能在引導鏈上載入。這可以視為一個「雙保險」機制。
但這個機製核心解決的還是確保引導鏈載入的均為可信對象,但並不能解決簽章驅動本身的穩定性、可靠性和安全性問題。客觀來說,就這次事件而言,微軟的責任較小,主要責任應由CrowdStrike承擔。
心智觀察所:如果模組的穩定性對系統核心會有直接影響,Windows將相關權限外放給網路安全產品是否明智?相較於Mac OS等競品,Windows引發藍屏保護的情況較為頻繁,一直被用戶詬病,怎麼理解這種情況?
肖新光:微軟和蘋果在營運模式上有巨大差異。微軟崛起,源自於上世紀80年代由IBM確定了IBM -PC的體系結構,形成了由英特爾提供X86架構的CPU、微軟提供作業系統、IBM輸出PC主機標準的這樣一套框架,使個人運算革命走入了大生態支撐的加速運動。這個背景決定了從MS-DOS到Windows系統的運作方式是廣泛相容於各種硬外設件、支撐開放式軟體生態。驅動底層介面不僅是為安全廠商開放,而是支援大量闆卡、外設硬件,因此必須開放相關的驅動標準。
而Mac OS的硬體選用是在一個相對封閉的供應鏈體系結構內進行的,其CPU、闆卡、顯示卡、包括屏幕外設等都是基於嚴格的自我供給或緻密合作的供應鏈體系,其硬體擴展整體上是在外部設定層面,而不是闆卡層面,其軟體應用也是基於單一的軟體市場Apple Store來進行閉環運營的。蘋果系統本身要承載的硬體相容性和軟體穩定性壓力都相對較小。 Apple Store是蘋果系統取得應用程式的主要來源管道,因此形成了較強的來源管控,這項機制降低了蘋果用戶下載和運行惡意程式碼的機率(當然,在歷史上Apple Store被穿透的事件也屢見不鮮)。
由於 Windows的「初始設定」就是允許使用者開放式地下載、安裝、使用各類應用,這不僅增加了被攻擊的風險,也使其無法對軟體生態進行收斂的品控。因此微軟需要的是更強有力的安全生態,而不能拋棄其本身的開放式和硬體相容的傳統優勢,來片面地學習蘋果的營運經驗。微軟也有部分的閉合營運生態,但Surface平板並不是Windows用戶的主品選擇;微軟推出了自己的應用程式商店Windows Store,但用戶的主流習慣還是從網路下載。這次事件也並不能根本改變微軟的運作模式。
要站在這些大的背景下,看待Windows系統和Mac OS的穩定性差異。同時,這也給我們信創資訊系統如何走好供應鏈和軟體生態,提供了兩種差異化參考樣板。
心智觀察所:CrowdStrike包含更早的Palantir等企業,慣於透過炒作中俄威脅博取流量,拉升估值,也深度融入美國情報界,根據您的觀察,這些企業除了防禦之外,是否也是美國賽博戰各類APT的幕後供應商?
肖新光:目前沒有證據可以作這樣的判斷。從美國網路安全產業機構來看,其有對應的分工模式。為美國情報機構供給攻擊能力、甚至直接下場作業的廠商,多為情報承包商或軍工承包商,而像CrowdStrike這樣的資本寵兒,其能力輸出主要還是在防禦側。雖然CrowdStrike在支撐美國網空霸權的過程中,頻繁地交納抹黑他國的網路安全問題的報告,作為“投名狀”,但從利益立場來講,其背後的資本還是需要強化其作為國際化產品企設,對資本利益來說,需要這些產品來建構面向全球用戶的信任。從美國情報機構來看,其產品的廣泛分佈,本身就構成了廣泛的感知價值,讓這些企業參與攻擊作業或能力供給,是得不償失的。
但同時,我們必須警惕,由於美國情報機構與規模型IT廠商聯動的運作模式由來已久,「棱鏡」系統的曝光就是鐵證,而CrowdStrike採用廣泛的託管運作模式,可以說是基於深度採集使用者資訊、匯聚到自身伺服器上,來達到運作效果,這些資料很有可能在美國情報機構窺視的範圍之內。同時,在美軍推動「向前防禦」的戰略過程中,相關的安全產品本身也具有了軍事裝備的屬性,其所進行的安全託管,雖以「加強盟友防禦並提高共享網路免受網路威脅的彈性」為說辭,但實際上採取雲端化、託管等運作模式,實際讓美方掌握了「盟友資訊系統」的操作及防禦能力,獲得了關鍵資訊系統的掌控權。
同時,其感知能力對0day漏洞利用的發現,其研究能力對新的漏洞挖掘,有可能會進入到美國情報機構的NOBUS(nobody but us, 沒有人能利用漏洞除了美國自己)的體系中,成為美國情報機構作業,或賦能給其盟友的資源。
此外,部分美國安全企業為美國政府、軍方客戶提供專屬性的能力輸出或營運加強,例如美國防毒企業麥克菲就專門為美國政府提供Government Signature(政府客戶專屬檢測規則),從而使美政府或軍方擁有比民品更強的差異化防護能力。
心智觀察所:CrowdStrike是美國主要的雲端、終端安全廠商之一,也是雲端原生網路安全的主要推手之一。這個事情讓我們認識到主機系統側安全能力建構的重要性。在公有雲虛擬機時代,我國目前的在網路安全的自主可控程度如何?國內政治企業目前Windows主機使用者的比重大概是多少?目前哪些安全產品在國內政企機構佔據主流?這次事件對中國網路安全自主可控的進程會產生怎樣的影響?
蕭新光:本事件充分說明了:網路安全產品和技術的自立自強具有重大意義,它的重要性不亞於(甚至在某些場景下超過了)基礎資訊產品和技術的自主性的重要性。基礎資訊產品的自立自強價值在於,不僅能在脫鉤、斷供、「卡脖子」的情況下,依然能繼續支撐數位轉型發展,在我們產品具有特徵和先進性的時候更可以進入國際市場競爭。而網路安全的自立自強價值在於無論我們運作著何種資訊系統,我們都擁有自己的安全屏障。儘管我們在不同安全產品的技術能力上存在著參差不齊的情況,但我們整體的產品能力譜係是完整的,沒有基礎缺門,能夠滿足安全的基礎要求,這是我們實現數位轉型發展的重要保障基礎。我們更能以自主安全能力為第三世界國家和友善國家提供安全保障。
長期以來,國內在網路安全產品的採購過程中,相對更願意去堆砌盒子,加上互聯網免費安全模式帶來的影響,使得以軟體為形態的、主機終端側的安全產品長期未受到應有的重視。但隨著資產雲化、泛在存取和加密流量的普遍使用,傳統邊界衰減失效已成為必然,系統側安全基石作用的回歸效應越來越明顯。這次事件更讓我們意識到,主機系統安全能力的重要性,CrowdStrike所展示的惡意程式碼(病毒)偵測防護、核心級主動防禦、分散式主機防火牆和威脅阻斷、週邊和硬體管控等模組化能力,也成為了我們很好的能力對標。我們需要打造與之比肩、甚至超越的系統安全能力。這次事件進一步讓我們看到安全產品的本質是軟體,而非載體設備。安全軟體的靈魂是能力迭代,而不是軟體功能。安全產品的自身可控,本質上是安全基礎能力、模組、演算法的自主性,而不是簡單的載體的自主性。聚焦於防禦有效性、維持威脅對抗的敏捷迭代,同時,做好安全產品本身的安全性、穩定性及可靠性。
從國內需求場景來看,Windows系統雖然在國內政企機構中的使用佔比不斷下降,但在一般的企業和個人用戶中仍然是絕對主流。同時,國內終端信創主機佔比不斷提升。公有雲已成為較成熟的產業,而私有雲、混合雲也處於新的建設熱潮中。國內系統側需求場景複雜,防禦戰線較長。供給側則處在百花齊放的狀態中,有多家廠商都有一定的自身特色,但還未產生領域的終局贏家。
心智觀察所:在您看來數據驅動的AI大模型技術會對網路安全領域乃至雲端運算技術堆疊帶來怎樣影響,公司在這方面是否已有實踐?
肖新光:以AI大模型為代表的智慧技術,對網路安全帶來了三個需要關注的問題:一是大模型技術本身的安全性問題,二是大模型基礎設施成為新的攻擊目標和場景,三是大模型對網路攻擊的賦能與加速問題。根據這幾年的觀察,我感覺到國內的某種程度上過度關注AI大模型本身的安全問題,但對於後兩者的關注、研究和投入是不夠的。
其實新技術帶來的最突出風險,往往都是其對現有風險的快速賦能與加速。大模型對網路攻擊的助力作用極為明顯,可在知情偵察、腳本增強、輔助開發、社工活動、漏洞研究、有效負載生成、異常檢測規避、安全功能繞過、資源開發等階段,提供全生命週期完整賦能,能夠對攻擊殺傷鏈的偵察追蹤、武器建構、載荷投遞、漏洞利用、安裝植入、持續控制、目標達成的全過程起到助力作用,導致攻擊自動化能力的快速提升、攻擊成本的快速下降,這趨勢本身更值得重視。
同時,扼制新技術風險的關鍵,往往就在於技術本身。例如網路技術帶來了威脅的快速流動,但同時也帶來了安全能力的快速部署和敏捷響應;雲端運算帶來了針對其係統的攻擊從而導致整體崩潰的重大風險,但這種體系特點強化安全後,也能夠形成高度彈性的防禦體系結構;大模型和AI能夠為攻擊賦能,當然也能為提升防禦能力賦能。其不僅能改善偵測、辨識等防禦能力的效果,更能有效輔助海量執行體(惡意程式碼)分析、流量快取分析多來源日誌(事件)分析、暴露(攻擊)面分析、使用者與實體分析,提升多源情報匯聚整合的效果,對全局策略(基線)編排、全局決策、反應編排、綜合風險分析收斂提供正面的價值。
雲是彈性算力體系,雲的體系結構先天是大模型平台的基礎。大模型既需要大量的GPU算力支撐,也有很多運算任務可以由CPU來分流和承載,例如微軟的雲端算力在一半的時間都分配給OpenAI來使用。
安天在很早就形成了依靠規模算力系統和工程師團隊經驗迭代運作的技術底座。我們的賽博超腦體系,已經累積百億計樣本(含白)的向量分析,目前每日樣本增量超過200萬。我們在去年嘗試應用開源模型但調試效果不佳的情況下,自主研發了VILLM威脅分析大模型。我們重點放在加強執行體樣本的分析和同源性檢測,強化特徵工程建設的收斂工程目標,,聚焦以二進制執行體樣本為對象,以突破token和上下文場地限製作為主要突破方向,取得了較快的進展。後續,我們也正在探索VILLM的其他應用場景,以期實現其對防禦體系的綜合賦能。
心智觀察所:因為防毒軟體導致大規模藍屏死機的情況之前還有過,例如2010年4月邁克菲誤殺系統文件,造成數十萬電腦死機。盤點這些防毒軟體因更新的病毒定義檔導致的藍色畫面問題,會發現其中的共通性是往往會發生在周五。先前上揚軟體的CEO在接受訪談說,他們總結出來的經驗教訓就是不要在周五給客戶更新軟體。如何解讀此類事件的「週五魔咒」?
蕭新光:安全軟體導致系統不穩定甚至藍屏,可能的原因很多,比較典型的包括:1)安全軟體本身出現誤報、誤殺,清除了關鍵系統文件、關鍵的應用驅動,從而導致系統崩潰;2 )安全軟體因自身機制問題,導致系統死鎖或崩潰;3)安全軟體在與威脅的對抗過程中,遭到針對性攻擊,或與攻擊樣本的記憶體對決等影響了系統穩定;4)安全軟體需要大量使用底層驅動和鉤子,可能與其他軟體發生衝突,特別是當兩種以上的主機安全產品在同一主機共存時,這種情況更容易發生。
以上幾種情況的發生機率和約束方法都是不一樣的。關於誤報誤殺問題,過去發生過的此類安全事件包括:2005年,趨勢(Trend Micro)的企業防毒軟體Officescan和VirusBuster因接收並使用了包含問題的升級檔案導致系統故障,波及650多家公司;2007年,賽門鐵克的諾頓防毒軟體誤殺簡體中文版Windows XP系統的動態連結庫導致系統藍屏,國內約有五萬台電腦受到了影響;2010年,麥克菲的防毒軟體VirusScan誤殺Windows XP的系統文件,造成全球數百萬台電腦崩潰,這幾起事件都是由誤報導致。目前主流的安全廠商,透過充分有效的海量白名單的持續累積和誤報測試,已經形成了較好的誤報測試能力,微軟的開發者支援計畫也能夠幫助安全廠商比較完整地獲取微軟的系統和DLL檔。同時在檢測中,輔以簽名驗證技術,可以比較有效降低防毒軟體的誤殺、誤報。
安全軟體的升級,分為功能性升級和能力型升級兩種。功能性升級和一般的應用軟體沒有本質差異;能力性升級則涉及到比較多的能力點,包括惡意程式碼偵測、漏洞偵測、修補程式升級、設定策略和基準管理、行為偵測和主動防禦等。這些機制已經比較好的歸一化為特徵庫升級,例如惡意程式碼偵測,主要是依靠特徵庫的持續升級。惡意程式碼偵測規則更新是安全能力的最基本面,升級也最為頻繁。我們出於品控考慮,將病毒庫的升級頻率從每小時一次降到每日十次,但這已經是底線,如再降低,則無法再有效防範惡意程式碼。不過,惡意程式碼偵測是線性代價的,對應的模組升級對系統可靠性穩定性的影響較低。只要不發生嚴重誤報、誤殺,或遭遇攻擊者建構的特定樣本攻擊,通常不會產生藍屏等級的故障。容易對系統穩定性和可靠性帶來影響的,主要是主防機制、熱補丁、特定的Rootkit或頑固感染病毒的查殺,而Rootkit或感染式病毒的查殺這兩種情況,都是在使用者已經被植入或感染的時候才會發生的,但主防防禦機制要確保防禦效果,就必須依賴系統核心驅動和鉤子。確保主機驅動的穩定,特別是在主防相關模組的更新時保證其穩定,這是主機防護最關鍵的品質命題。
電腦病毒和攻擊者是不過週末的,在了解安全軟體的機理之後就會發現,所謂的「星期五魔咒」導致周五不更新是胡扯的。安全軟體的安全能力日常更新其實隨時都在進行。當然營運工作是有週期性的,週末用戶側的IT和安全響應人員往往休假不在崗位,安全廠商本身值守人員也比工作日少。如果發生安全事故,確實存在回應人員不足的情況。但著名的魔窟勒索蠕蟲大爆發事件,也因為當時是星期五,還有大量節點未開機,所以逃過一劫。而安全業界就是依靠週五傍晚緊急啟動,快速奮戰快速發布免疫、專殺,包括週一開機指南,才有效減少了蠕蟲受害節點數量。總之,所有問題都要科學嚴謹、具體問題具體分析,不能不負責任地給予「玄學」風格的論述。
安全產品需要在快速反應機制及其引入的可靠性風險之間做出艱難抉擇:在應對重大突發威脅、0day漏洞在野線索、漏洞成熟PoC突然出現等情況時,是快速分發能力、實現快速處置,還是進行充分的穩定測試後再發布?前者保障了響應時效,但有可能引發可靠性、穩定性方面的問題;後者雖然控制了穩定性風險,但有可能導致失去戰機,延長了用戶暴露在威脅中的時間窗口,增加陷落風險。對每一個能力型安全企業都是一個充滿風險的選擇題。
安全軟體要考慮的不只是穩定性和能力的平衡,更是如何在品控約束下跑贏攻擊活動和威脅的演變。
心智觀察所:CrowdStrike過去一直抹黑中國,這次重大事故的處理態度也顯得傲慢,作為同行,怎麼看待CrowdStrike的產品和技術實力?不可否認的是,CrowdStrike在產品研發和營運層面有著超強實力,目前這類企業往往採用ToB端訂閱的方式和客戶合作,從研發營運角度來看,我國同類型企業的機會和挑戰有哪些?
蕭新光:我對CrowdStrike有著立場反感,但同時也認同其產品與技術的實力。但這次事件中CrowdStrike後續的連動處理整體來看是傲慢的和不盡如人意的。例如其恢復資訊的發布居然是透過使用者登入認證才能看到的一個頁面,忽略了受影響的使用者主機已經藍屏停擺,根本不具備登入其網站查看資訊的條件;另外,其僅提供了安全模式下進入對應目錄,刪除特定文件的手動處置方式,卻不願意通過舉手之勞封裝一個處置工具,導致網管和用戶被迫以極其低效的方式逐一處理;對於雲租戶不具備把主機啟動到安全模式下的條件,CrowdStrike在很長時間內也沒有給出對應的解決方案。而對於受影響最大的、使用了Bitlocker引導卷加密的用戶,除了建議用戶準備好恢復密鑰,也長時間沒有給出進一步的輔助方法。
就訂閱模式、託管營運這個問題,目前國內資訊基礎場景較為碎片化,有許多隔離區域和孤島節點,升級營運代價成本較大,且有很大的合規性的限制。特別是在大量系統和內網是隔離狀態的情況下,是不可能進行託管服務的。物理隔離在一定的歷史階段是有效的安全策略,但現在看來,其在阻斷一部分威脅的同時,也阻斷了系統安全能力的快速分發和協同彈性的響應,當然也為訂閱模式、託管營運的安全運作模式帶來障礙。數位化基礎較好的和先天在網的企業機構,則有可能在訂閱模式、託管營運模式中率先獲益。
心智觀察所:CrowdStrike服務的西方軍政機構、大型企業等客戶,有著嚴格的品控要求,為什麼還是發生了這次這樣嚴重的品質事故,其中的教訓是什麼?
蕭新光:如前文所說,主防系統一方面需要有效應對安全威脅、快速迭代,另一方面要充分確保系統的穩定,要達到兩者平衡的確非常困難。但這次CrowdStrike事件依然有許多教訓值得吸取。
CrowdStrike團隊的能力起點是比較高的,其核心團隊成員曾經歷過防毒主機安全時代安全對抗的洗禮,有系統側的視野和經驗傳承,研發研究隊伍精英雲集。但威脅對抗強度、難度也持續增加,不再是相對容易的遏制非定向感染式病毒傳播和蠕蟲擴散,而是要面對免殺木馬、內存作業、混合執行體攻擊等各種載荷,面對0day漏洞利用、社工欺騙掩護、RoP攻擊、格式文件溢位等突防方式及戰術運用。在雲端工作負載層面場景也更為複雜,主防的結構體系和規則策略規劃方面,無法完全沿襲惡意程式碼面向載荷的特徵庫的經驗慣性。既要確保防禦的有效性、又要讓升級具有高度管理性,需要設計參數配置、規則、腳本和模組的複合升級結構,需要有更細緻的、動態的測試。
CrowdStrike在創業前期可以憑藉清晰的軟體架構設計、高水準的編碼實現、設計巧妙的規則策略結構等,在一定規模的用戶基數下,保證穩定性和可靠性;包括可以先突出威脅對抗能力,打出自己有效檢測和防護能力的口碑;但在目前千萬級裝機規模且覆蓋複雜場景的情況下,品控的複雜性,已經和創業成長期不可同日而語。出現問題的影響也急劇加大。 CrowdStrike在先前作為納斯達克的“保送生”過於“順風順水”,在這種心態下容易萌生對自身體系結構運行設計的盲目自信,過度強調威脅對抗的敏捷性和威脅防禦效果,而在穩定性、可靠性等品控方面的投入,與其使用者規模當量不相符。
從其規則只存續了1小時左右即造成全球超過850萬個節點崩潰的事實來看,其這次規則升級是作為一次輕量級的快速廣泛分發,較大可能是針對特定威脅的快速響應機制運行。可見其內部並沒有建立起能夠到達每一次能力敏捷升級的完整流程體系,在升級時沒有充分遵守灰階升級的相應原則。這些都是應當吸取的教訓。
但同時,我們面對這問題絕不可矯枉過正。目前國內終端系統主要的安全威脅仍是大量的端點系統長期處於低防護、弱防護的狀態。在我們服務或處置的大量安全事件中,我們發現許多政企機構的內部網路依然存在蠕蟲氾濫傳播、病毒批量感染、宏病毒長期存在的情況,總之,是處於極低的安全運作水平。究其原因,或是沒有安裝安全軟體;或是在不能連網的主機上安裝了網路的免費安全用戶端,這類免費安全用戶端高度依賴雲端查詢能力,純本機偵測能力較弱;或是選擇了一些號稱有殺毒能力的安全合規品,但其實際檢測能力非常低;或者產品選擇沒有問題,但處於長期不及時升級的導致能力衰減。這些問題是我們目前更需要先解決的。
應該說,大面積的安全產品的品質事故,是一個可以透過嚴格的流程系統進行有效控制的偶發性事件。但如果系統處於防護缺失的狀態中,在當前威脅攻擊活動和惡意程式碼傳播極為頻繁的情況下,其被入侵就成為了一種必然性風險。另外,系統安全軟體造成的崩潰後果,基本上是可止損、可恢復的,雖然給用戶帶來了運行價值的損失,但並不會導致用戶資產的流失和外溢;但如果用戶不改善防護,就將自己暴露在了攻擊風險中,而當前以定向勒索為代表的攻擊者採用的是「一魚多吃」的方式,一方面癱瘓用戶的系統,另一方面將用戶的數據、資訊等資產在網路上販賣傳播,也會透過威脅公開資料的方式,多重施壓勒索財產。其威脅後果,遠高於安全軟體帶來的偶發性風險代價。因此在這個問題上,絕對不能因噎廢食,應在確保產品穩定性、可靠性的前提下,不斷提升防護水平和對抗敏捷性,構建起堅固的安全防線。
安全能力和穩定可靠性是辯證統一的,歷史是辯證演進發展的,如果在重大災難事件中只基於片面、單一的視角去總結一方面經驗和改善,就一定會使事物走到自己的反面。
心智觀察所:對於目前國內市場片段化格局與低水準內卷,您認為企業可以採取哪些因應策略?
肖新光:網路安全整體的市場運作有其歷史慣性。較成熟的網路安全市場演進通常要走過合規導向、威脅導向和能力導向三個階段-第一階段解決有無問題,第二階段解決能力提升和彈性升級問題,第三階段解決體系運行問題。我們現在的情況是:需求體系已經初步有了能力引導,但供給體系仍處於第一階段,整體上表現為以合規品為主導的關係型市場。
網路安全面臨的困難挑戰,並非完全在於網路安全自身,有許多淵源是源自資訊化的。例如:我們在資訊化發展建設中,長期處於「重硬體、輕軟體」的狀況中,導致軟體沒有議價權,形成了一味堆砌盒子而不提升實質安全防護水平和對抗能力的錯誤導向。在以防火牆和安全閘道為安全賽道主品的時代,這一問題並未凸顯,但在安全基石重回系統側時,這一問題便高度顯性化了。
網路安全的碎片化,某種程度上是由資訊化的碎片化所導致的。由於我們很大比例的資訊化場景是碎片化、小生產所產生的,大量低成本、低水準的資訊系統成為了極難設防的「沼澤地」。同時,在基礎資訊產品信創的發展初期,需要有一個自由發展和競爭的階段,這個階段的信創體系存在著多種電腦架構、CPU和作業系統的組合,為網路安全產品帶來了適配困擾,特別是讓主機安全防護的場景變得高度複雜。這些問題會隨著信創的集約化逐漸改善。
網路安全領域的特徵決定了,系統、剛性、深度的需求無法依靠供給面主體推動,我國網路安全產業需要一場由需求側變革驅動的結構性供給面變革
受全球經濟大勢、美國綜合打壓等因素影響,當前我國網路安全產業也進入到了一個艱難調整的階段,當前中國網路安全企業更關鍵的任務是活下去,然後才能強硬。但也許這正是危機中的轉折所在。當橫向灌木生長,透過擴品拉開戰線已經不能獲得更多有效收益,業內就會反省樣樣通,必然樣樣松,專下去,才能強起來。當看到低價得標、惡性競爭只會加速成本耗散,贏家通吃只是不且實際的幻想,覺醒的產業主體就會重新校準自己的定位,重新認識彼此的競合關係。中國網路安全產業想要實現逆週期發展,就需要回歸安全價值的有效性;重新校準和再認知系統安全防護、惡意程式碼檢測等基礎能力的價值;深入理解先進運算架構的趨勢和安全需求;紮實準備大模型等新科技中孕育的安全危機與技術變革。透過深耕細作和產業協同,實現集體崛起。洞察危機,解析自己,自我革新,走向未來。
來源|心智觀察所
Comments
Warning: count(): Parameter must be an array or an object that implements Countable in /var/www/html/wwwroot/itrenzheng.hk/wp-includes/class-wp-comment-query.php on line 399
Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!