CrowdStrike事件的綜合背景分析與對中國產業的啟示
以下文章来源于心智观察所 ,作者心智观察所
「藍屏事件」突然爆發後,引起全球震動,更深刻的警醒和反思仍在持續之中。心智觀察所就此次大規模藍屏事件背後的發生機制,國產操作系統自主可控等一系列問題,和安天董事長、首席技術架構師肖新光先生進行了深入交流和對話
心智觀察所:CrowdStrike是一家甚麼樣背景的企業,是怎麼實現快速崛起,在全球擁有龐大裝機規模的?
肖新光:CrowdStrike是一家以雲端和終端運算環境為主要防護目標場景、以威脅偵測對抗為基礎能力、以主機系統側安全為產品形態、以安全託管服務為先進運行模式的企業。綜合來看,CrowdStrike的崛起是自身進取、IT發展趨勢、資本佈局和美國政府旋轉門運作的綜合結果:
1)CrowdStrike在技術結構設計、運作理念和技術能力上的先進性是根本內因。 CrowdStrike的創業家曾在Big AV(註:即超級防毒軟體企業,是業界對卡巴斯基、賽門鐵克、麥克菲這批老牌防毒企業的統稱)防毒體系中經歷了多年的浸潤與搏殺,深度理解主機系統安全的運作機制和威脅對抗的基礎邏輯,同時又精確把握了先進運算架構的安全需求,把握了安全基石回歸主機系統和工作負載的機會窗口,前瞻性地選擇了以安全託管訂閱為核心運作模式的企業運作方式。其安全能力側聚焦主機場景,建構了下一代防毒、智慧主防和偵測反應、週邊管控、主機防火牆四大關鍵能力,並依托情報和惡意程式碼分析能力作為服務延展,強化綜合安全營運能力,技術規劃和演進路徑非常清晰,在威脅對抗中響應敏捷。這些都成為其崛起的內因;
2)先進運算環境的安全需求和系統側安全的回歸為CrowdStrike的崛起提供了歷史機會。在過去20年間,運算結構發生的一個重大變化是資產體係由原有的IDC伺服器-終端體系進入了以雲端運算為主導的先進運算結構,虛擬化、容器等新的工作負載承載形式不斷迭代。因應新興運算場景的安全需求,沒有Big AV時代的系統側安全底蘊則難以承載,但單純套用傳統防毒軟體的模式並不足以應付需求。同時,在資產雲化、泛在存取、通訊協定普遍加密的背景下,以防火牆等網關設備為代表的安全邊界的價值全面衰減,安全的基礎基石重回主機和工作負載一側,安全預算的結構也發生變化;加之美國整個的IT基礎場景相對集約化,提供了相對統一、集約的運行環境和場景,使CrowdStrike可以將研發資源聚焦在先進產品架構、威脅感知捕獲、威脅檢測獵殺和運行模式等價值主閉環上,加之矽谷本身包容創新的基本環境,這是其崛起的客觀條件;
3)CrowdStrike的崛起離不開美國產業和金融資本的全力助推。在美國網路空間安全的產業體系演進過程中,在個人運算革命的周期中,誕生了賽門鐵克、麥克菲、趨勢等為代表的面向端點的老牌殺毒企業;在資訊高速公路建設的周期中,興起了Netscreen、Fortinet、Palo Alto Networks等網關側的創業明星,系統側和網關側,形成了安全基礎能力的兩大陣營。在運算結構改變、威脅情勢快速演進的背景下,老牌防毒企業開始表現出技術架構落後、威脅反應的敏感度和銳利度下降的問題,而網關側企業又很難在短時間內快速彌補系統側安全基因的缺失,無論是大場景需求,或是產業能力完善、資本概念的需求,都迫切需要打造出一個具有新銳性的系統側安全明星企業,在此過程中Bit9、Cylance、Carbon Black也一度被資本追捧,但最終由CrowdStrike奪頭。這結果離不開強而有力的資本持續助力。身為CrowdStrike主要投資者的華平資本時任董事長曾擔任美國財政部部長,也是著名的反華政客。
產業和金融資本一直是美國全球產業競爭的超級後援團。例如在上世紀防毒產品的最初競爭格局中,美國企業產品能力並不在最高水平,歐洲軍團才是產品能力(特別是偵測能力)的翹楚。在這個過程中,美國透過壟斷資本的利益逐漸化解了歐洲的安全產品體系,如:在資本操盤下,由麥克菲收購了當時歐洲最大的防毒企業Dr Soloman。後來英國代表性的安全企業Sophos也被美國產業資本併購。
4)CrowdStrike的崛起亦有美國政商旋轉門的背景,與美國全球霸權佈局高度相關。 CrowdStrike有鮮明的旋轉門企業特點,其創業團隊成員和多位高管都有美國情報機構任職履歷,在其發展中,透過多次炮製抹黑中國的技術報告,為美國軍方和情報機構交上了“投名狀”,而美國政府也“投桃報李”,將CrowdStrike列為其在“向前防禦”戰略和對外產品輸出的一個重點層次,幫助其在國際市場快速崛起。
5)CrowdStrike沒有出現強力的國際挑戰競爭者,也與美政府直接打壓國際競爭者有關。
在商業競爭中,美政府相關部門反覆下場打壓其主要國際競爭者已經屢見不鮮。特別是對中俄廠商的干擾打壓尤為突出。
美情報機構NSA 從2010年制定的「拱形計畫」(CamberDaDa),陸續圈定了重點關注的全球23家可能發現和影響其情報活動的網路安全企業,其中約70%的企業在歐洲(17家),26%的企業在亞洲(6家),但沒有任何一家美國及「五眼聯盟」國家的網路安全企業上榜。
這個計畫最重要針對目標就是俄羅斯著名安全廠商卡巴斯基。卡巴斯基歷史悠久,技術長期領先,國際業務規模較大,品牌知名度很高。 2017年,美國國土安全部就以國家安全為由,發布指令要求「從所有聯邦資訊系統中刪除和停止使用卡巴斯基產品」;今年6月20日,美國商務部工業和安全局(BIS)宣布全面禁止卡巴斯基實驗室及其所有附屬公司、子公司和母公司在美國提供任何產品或服務,該禁令已於7月20日起正式生效。
我所工作的安天也對這種打壓幹擾有深刻的體會。安天是上榜CamberDaDa計畫中的唯一中國廠商,受此影響,我們在2013年後只能逐步停止了對美國安全企業的引擎授權業務。另外,因長期分析美方情報機構的攻擊活動,2022年我司被美國國會有關「中國網路安全能力」聽證會報告點名,致使我們進一步失去了相關亞洲國家市場。
心智觀察所:據分析,發生藍屏的主要功能模組CSAgent.sys帶有CrowdStrike和微軟的雙重數位簽章。微軟第一時間撇開關係,包括網路安全和基礎設施安全局主管也站出來給微軟月台。怎麼理解CrowdStrike和微軟在這次事件中各自該承擔的責任?
蕭新光:安天在《CrowdStrike導致大規模系統崩潰事件的技術分析》這篇報告中對本次藍屏事件進行了詳細分析,問題發生的機制是:CrowdStrike主防的核心驅動CSAgent.sys的模組在讀取、解析相關的設定策略檔案時發生異常,進而導致Windows系統藍屏崩潰且重新啟動後繼續藍屏的嚴重後果。這與CrowdStrike公佈的原因是一致的。 CSAgent.sys之所以帶有CrowdStrike和微軟文件雙簽,主要來自微軟對Windows的強制性核心模組和驅動的簽名需求。通常來看,軟體應用程式都可以去各個機構申請軟體證書,以形成可信任認證鏈,驗證軟體模組與發布側的一致性,對抗攻擊者對產品的竄改。但如果出現大量的攻擊者申請證書或入侵軟體開發者係統,竊取簽名證書,簽發惡意程式碼的情況,這些惡意程式可以作為有簽名的驅動和內核模組來加載。針對此,微軟形成了一套自身的憑證簽發管理機制。強制要求驅動和核心模組同時需要微軟的簽名才能在引導鏈上載入。這可以視為一個「雙保險」機制。
但這個機製核心解決的還是確保引導鏈載入的均為可信對象,但並不能解決簽章驅動本身的穩定性、可靠性和安全性問題。客觀來說,就這次事件而言,微軟的責任較小,主要責任應由CrowdStrike承擔。
心智觀察所:如果模組的穩定性對系統核心會有直接影響,Windows將相關權限外放給網路安全產品是否明智?相較於Mac OS等競品,Windows引發藍屏保護的情況較為頻繁,一直被用戶詬病,怎麼理解這種情況?
肖新光:微軟和蘋果在營運模式上有巨大差異。微軟崛起,源自於上世紀80年代由IBM確定了IBM -PC的體系結構,形成了由英特爾提供X86架構的CPU、微軟提供作業系統、IBM輸出PC主機標準的這樣一套框架,使個人運算革命走入了大生態支撐的加速運動。這個背景決定了從MS-DOS到Windows系統的運作方式是廣泛相容於各種硬外設件、支撐開放式軟體生態。驅動底層介面不僅是為安全廠商開放,而是支援大量闆卡、外設硬件,因此必須開放相關的驅動標準。
而Mac OS的硬體選用是在一個相對封閉的供應鏈體系結構內進行的,其CPU、闆卡、顯示卡、包括屏幕外設等都是基於嚴格的自我供給或緻密合作的供應鏈體系,其硬體擴展整體上是在外部設定層面,而不是闆卡層面,其軟體應用也是基於單一的軟體市場Apple Store來進行閉環運營的。蘋果系統本身要承載的硬體相容性和軟體穩定性壓力都相對較小。 Apple Store是蘋果系統取得應用程式的主要來源管道,因此形成了較強的來源管控,這項機制降低了蘋果用戶下載和運行惡意程式碼的機率(當然,在歷史上Apple Store被穿透的事件也屢見不鮮)。
由於 Windows的「初始設定」就是允許使用者開放式地下載、安裝、使用各類應用,這不僅增加了被攻擊的風險,也使其無法對軟體生態進行收斂的品控。因此微軟需要的是更強有力的安全生態,而不能拋棄其本身的開放式和硬體相容的傳統優勢,來片面地學習蘋果的營運經驗。微軟也有部分的閉合營運生態,但Surface平板並不是Windows用戶的主品選擇;微軟推出了自己的應用程式商店Windows Store,但用戶的主流習慣還是從網路下載。這次事件也並不能根本改變微軟的運作模式。
要站在這些大的背景下,看待Windows系統和Mac OS的穩定性差異。同時,這也給我們信創資訊系統如何走好供應鏈和軟體生態,提供了兩種差異化參考樣板。
心智觀察所:CrowdStrike包含更早的Palantir等企業,慣於透過炒作中俄威脅博取流量,拉升估值,也深度融入美國情報界,根據您的觀察,這些企業除了防禦之外,是否也是美國賽博戰各類APT的幕後供應商?
肖新光:目前沒有證據可以作這樣的判斷。從美國網路安全產業機構來看,其有對應的分工模式。為美國情報機構供給攻擊能力、甚至直接下場作業的廠商,多為情報承包商或軍工承包商,而像CrowdStrike這樣的資本寵兒,其能力輸出主要還是在防禦側。雖然CrowdStrike在支撐美國網空霸權的過程中,頻繁地交納抹黑他國的網路安全問題的報告,作為“投名狀”,但從利益立場來講,其背後的資本還是需要強化其作為國際化產品企設,對資本利益來說,需要這些產品來建構面向全球用戶的信任。從美國情報機構來看,其產品的廣泛分佈,本身就構成了廣泛的感知價值,讓這些企業參與攻擊作業或能力供給,是得不償失的。… Continue reading
Fortinet NSE 7 – SD-WAN 7.2考試说明
本次考試是以下認證軌道的一部分:
Fortinet認證解決方案專家 – 網絡安全:該認證驗證您設計、管理、監控和排除Fortinet網絡安全解決方案的故障的能力。
Fortinet認證解決方案專家 – 安全訪問服務邊緣(SASE):FCSS – SASE認證驗證您設計、管理、監控和排除Fortinet SASE解決方案的故障的能力。 請訪問網絡安全認證頁面,了解有關認證要求的資訊。
考試概述
Fortinet NSE 7 – SD-WAN 7.2考試評估您對Fortinet SD-WAN解決方案的知識和專業能力。
考試測試了集成、管理、故障排除和集中管理由FortiOS 7.2.4、FortiManager 7.2.2和FortiAnalyzer 7.2.2組成的安全SD-WAN解決方案的應用知識。
通過考試後,您將獲得以下考試徽章:
考試對象
Fortinet NSE 7 – SD-WAN 7.2考試旨在為負責設計、管理和支持由多個FortiGate設備組成的安全SD-WAN基礎設施的網絡和安全專業人員。
考試詳細信息
考試名稱:Fortinet NSE 7 – SD-WAN 7.2
考試系列:NSE7_SDW-7.2
允許時間:75分鐘
考試問題:40個多選題
成績:通過或失敗。您可以從Pearson VUE帳戶中獲取成績報告
語言:英語和日本語
產品版本:FortiOS 7.2.4、FortiManager 7.2.2、FortiAnalyzer 7.2.2
考試主題
成功應試者在以下領域和任務中具有應用知識和技能:
SD-WAN配置
配置基本SD-WAN DIA設置
配置SD-WAN成員和區域
配置性能SLA
規則和路由
配置SD-WAN規則
配置SD-WAN路由
集中管理
從FortiManager配置和部署SD-WAN
配置和使用IPsec推薦模板
配置和使用SD-WAN Overlay模板
SD-WAN Overlay設計和最佳實踐… Continue reading