Mindblown: a blog about philosophy.

以下文章来源于心智观察所 ，作者心智观察所 「藍屏事件」突然爆發後，引起全球震動，更深刻的警醒和反思仍在持續之中。心智觀察所就此次大規模藍屏事件背後的發生機制，國產操作系統自主可控等一系列問題，和安天董事長、首席技術架構師肖新光先生進行了深入交流和對話 心智觀察所：CrowdStrike是一家甚麼樣背景的企業，是怎麼實現快速崛起，在全球擁有龐大裝機規模的？ 肖新光：CrowdStrike是一家以雲端和終端運算環境為主要防護目標場景、以威脅偵測對抗為基礎能力、以主機系統側安全為產品形態、以安全託管服務為先進運行模式的企業。綜合來看，CrowdStrike的崛起是自身進取、IT發展趨勢、資本佈局和美國政府旋轉門運作的綜合結果： 1）CrowdStrike在技術結構設計、運作理念和技術能力上的先進性是根本內因。 CrowdStrike的創業家曾在Big AV（註：即超級防毒軟體企業，是業界對卡巴斯基、賽門鐵克、麥克菲這批老牌防毒企業的統稱）防毒體系中經歷了多年的浸潤與搏殺，深度理解主機系統安全的運作機制和威脅對抗的基礎邏輯，同時又精確把握了先進運算架構的安全需求，把握了安全基石回歸主機系統和工作負載的機會窗口，前瞻性地選擇了以安全託管訂閱為核心運作模式的企業運作方式。其安全能力側聚焦主機場景，建構了下一代防毒、智慧主防和偵測反應、週邊管控、主機防火牆四大關鍵能力，並依托情報和惡意程式碼分析能力作為服務延展，強化綜合安全營運能力，技術規劃和演進路徑非常清晰，在威脅對抗中響應敏捷。這些都成為其崛起的內因； 2）先進運算環境的安全需求和系統側安全的回歸為CrowdStrike的崛起提供了歷史機會。在過去20年間，運算結構發生的一個重大變化是資產體係由原有的IDC伺服器-終端體系進入了以雲端運算為主導的先進運算結構，虛擬化、容器等新的工作負載承載形式不斷迭代。因應新興運算場景的安全需求，沒有Big AV時代的系統側安全底蘊則難以承載，但單純套用傳統防毒軟體的模式並不足以應付需求。同時，在資產雲化、泛在存取、通訊協定普遍加密的背景下，以防火牆等網關設備為代表的安全邊界的價值全面衰減，安全的基礎基石重回主機和工作負載一側，安全預算的結構也發生變化；加之美國整個的IT基礎場景相對集約化，提供了相對統一、集約的運行環境和場景，使CrowdStrike可以將研發資源聚焦在先進產品架構、威脅感知捕獲、威脅檢測獵殺和運行模式等價值主閉環上，加之矽谷本身包容創新的基本環境，這是其崛起的客觀條件； 3）CrowdStrike的崛起離不開美國產業和金融資本的全力助推。在美國網路空間安全的產業體系演進過程中，在個人運算革命的周期中，誕生了賽門鐵克、麥克菲、趨勢等為代表的面向端點的老牌殺毒企業；在資訊高速公路建設的周期中，興起了Netscreen、Fortinet、Palo Alto Networks等網關側的創業明星，系統側和網關側，形成了安全基礎能力的兩大陣營。在運算結構改變、威脅情勢快速演進的背景下，老牌防毒企業開始表現出技術架構落後、威脅反應的敏感度和銳利度下降的問題，而網關側企業又很難在短時間內快速彌補系統側安全基因的缺失，無論是大場景需求，或是產業能力完善、資本概念的需求，都迫切需要打造出一個具有新銳性的系統側安全明星企業，在此過程中Bit9、Cylance、Carbon Black也一度被資本追捧，但最終由CrowdStrike奪頭。這結果離不開強而有力的資本持續助力。身為CrowdStrike主要投資者的華平資本時任董事長曾擔任美國財政部部長，也是著名的反華政客。 產業和金融資本一直是美國全球產業競爭的超級後援團。例如在上世紀防毒產品的最初競爭格局中，美國企業產品能力並不在最高水平，歐洲軍團才是產品能力（特別是偵測能力）的翹楚。在這個過程中，美國透過壟斷資本的利益逐漸化解了歐洲的安全產品體系，如：在資本操盤下，由麥克菲收購了當時歐洲最大的防毒企業Dr Soloman。後來英國代表性的安全企業Sophos也被美國產業資本併購。 4）CrowdStrike的崛起亦有美國政商旋轉門的背景，與美國全球霸權佈局高度相關。 CrowdStrike有鮮明的旋轉門企業特點，其創業團隊成員和多位高管都有美國情報機構任職履歷，在其發展中，透過多次炮製抹黑中國的技術報告，為美國軍方和情報機構交上了“投名狀”，而美國政府也“投桃報李”，將CrowdStrike列為其在“向前防禦”戰略和對外產品輸出的一個重點層次，幫助其在國際市場快速崛起。 5）CrowdStrike沒有出現強力的國際挑戰競爭者，也與美政府直接打壓國際競爭者有關。 在商業競爭中，美政府相關部門反覆下場打壓其主要國際競爭者已經屢見不鮮。特別是對中俄廠商的干擾打壓尤為突出。 美情報機構NSA 從2010年制定的「拱形計畫」（CamberDaDa），陸續圈定了重點關注的全球23家可能發現和影響其情報活動的網路安全企業，其中約70%的企業在歐洲（17家），26%的企業在亞洲（6家），但沒有任何一家美國及「五眼聯盟」國家的網路安全企業上榜。 這個計畫最重要針對目標就是俄羅斯著名安全廠商卡巴斯基。卡巴斯基歷史悠久，技術長期領先，國際業務規模較大，品牌知名度很高。 2017年，美國國土安全部就以國家安全為由，發布指令要求「從所有聯邦資訊系統中刪除和停止使用卡巴斯基產品」；今年6月20日，美國商務部工業和安全局(BIS)宣布全面禁止卡巴​​斯基實驗室及其所有附屬公司、子公司和母公司在美國提供任何產品或服務，該禁令已於7月20日起正式生效。 我所工作的安天也對這種打壓幹擾有深刻的體會。安天是上榜CamberDaDa計畫中的唯一中國廠商，受此影響，我們在2013年後只能逐步停止了對美國安全企業的引擎授權業務。另外，因長期分析美方情報機構的攻擊活動，2022年我司被美國國會有關「中國網路安全能力」聽證會報告點名，致使我們進一步失去了相關亞洲國家市場。 心智觀察所：據分析，發生藍屏的主要功能模組CSAgent.sys帶有CrowdStrike和微軟的雙重數位簽章。微軟第一時間撇開關係，包括網路安全和基礎設施安全局主管也站出來給微軟月台。怎麼理解CrowdStrike和微軟在這次事件中各自該承擔的責任？ 蕭新光：安天在《CrowdStrike導致大規模系統崩潰事件的技術分析》這篇報告中對本次藍屏事件進行了詳細分析，問題發生的機制是：CrowdStrike主防的核心驅動CSAgent.sys的模組在讀取、解析相關的設定策略檔案時發生異常，進而導致Windows系統藍屏崩潰且重新啟動後繼續藍屏的嚴重後果。這與CrowdStrike公佈的原因是一致的。 CSAgent.sys之所以帶有CrowdStrike和微軟文件雙簽，主要來自微軟對Windows的強制性核心模組和驅動的簽名需求。通常來看，軟體應用程式都可以去各個機構申請軟體證書，以形成可信任認證鏈，驗證軟體模組與發布側的一致性，對抗攻擊者對產品的竄改。但如果出現大量的攻擊者申請證書或入侵軟體開發者係統，竊取簽名證書，簽發惡意程式碼的情況，這些惡意程式可以作為有簽名的驅動和內核模組來加載。針對此，微軟形成了一套自身的憑證簽發管理機制。強制要求驅動和核心模組同時需要微軟的簽名才能在引導鏈上載入。這可以視為一個「雙保險」機制。 但這個機製核心解決的還是確保引導鏈載入的均為可信對象，但並不能解決簽章驅動本身的穩定性、可靠性和安全性問題。客觀來說，就這次事件而言，微軟的責任較小，主要責任應由CrowdStrike承擔。 心智觀察所：如果模組的穩定性對系統核心會有直接影響，Windows將相關權限外放給網路安全產品是否明智？相較於Mac OS等競品，Windows引發藍屏保護的情況較為頻繁，一直被用戶詬病，怎麼理解這種情況？ 肖新光：微軟和蘋果在營運模式上有巨大差異。微軟崛起，源自於上世紀80年代由IBM確定了IBM -PC的體系結構，形成了由英特爾提供X86架構的CPU、微軟提供作業系統、IBM輸出PC主機標準的這樣一套框架，使個人運算革命走入了大生態支撐的加速運動。這個背景決定了從MS-DOS到Windows系統的運作方式是廣泛相容於各種硬外設件、支撐開放式軟體生態。驅動底層介面不僅是為安全廠商開放，而是支援大量闆卡、外設硬件，因此必須開放相關的驅動標準。 而Mac OS的硬體選用是在一個相對封閉的供應鏈體系結構內進行的，其CPU、闆卡、顯示卡、包括屏幕外設等都是基於嚴格的自我供給或緻密合作的供應鏈體系，其硬體擴展整體上是在外部設定層面，而不是闆卡層面，其軟體應用也是基於單一的軟體市場Apple Store來進行閉環運營的。蘋果系統本身要承載的硬體相容性和軟體穩定性壓力都相對較小。 Apple Store是蘋果系統取得應用程式的主要來源管道，因此形成了較強的來源管控，這項機制降低了蘋果用戶下載和運行惡意程式碼的機率（當然，在歷史上Apple Store被穿透的事件也屢見不鮮）。 由於 Windows的「初始設定」就是允許使用者開放式地下載、安裝、使用各類應用，這不僅增加了被攻擊的風險，也使其無法對軟體生態進行收斂的品控。因此微軟需要的是更強有力的安全生態，而不能拋棄其本身的開放式和硬體相容的傳統優勢，來片面地學習蘋果的營運經驗。微軟也有部分的閉合營運生態，但Surface平板並不是Windows用戶的主品選擇；微軟推出了自己的應用程式商店Windows Store，但用戶的主流習慣還是從網路下載。這次事件也並不能根本改變微軟的運作模式。 要站在這些大的背景下，看待Windows系統和Mac OS的穩定性差異。同時，這也給我們信創資訊系統如何走好供應鏈和軟體生態，提供了兩種差異化參考樣板。 心智觀察所：CrowdStrike包含更早的Palantir等企業，慣於透過炒作中俄威脅博取流量，拉升估值，也深度融入美國情報界，根據您的觀察，這些企業除了防禦之外，是否也是美國賽博戰各類APT的幕後供應商？ 肖新光：目前沒有證據可以作這樣的判斷。從美國網路安全產業機構來看，其有對應的分工模式。為美國情報機構供給攻擊能力、甚至直接下場作業的廠商，多為情報承包商或軍工承包商，而像CrowdStrike這樣的資本寵兒，其能力輸出主要還是在防禦側。雖然CrowdStrike在支撐美國網空霸權的過程中，頻繁地交納抹黑他國的網路安全問題的報告，作為“投名狀”，但從利益立場來講，其背後的資本還是需要強化其作為國際化產品企設，對資本利益來說，需要這些產品來建構面向全球用戶的信任。從美國情報機構來看，其產品的廣泛分佈，本身就構成了廣泛的感知價值，讓這些企業參與攻擊作業或能力供給，是得不償失的。 但同時，我們必須警惕，由於美國情報機構與規模型IT廠商聯動的運作模式由來已久，「棱鏡」系統的曝光就是鐵證，而CrowdStrike採用廣泛的託管運作模式，可以說是基於深度採集使用者資訊、匯聚到自身伺服器上，來達到運作效果，這些資料很有可能在美國情報機構窺視的範圍之內。同時，在美軍推動「向前防禦」的戰略過程中，相關的安全產品本身也具有了軍事裝備的屬性，其所進行的安全託管，雖以「加強盟友防禦並提高共享網路免受網路威脅的彈性」為說辭，但實際上採取雲端化、託管等運作模式，實際讓美方掌握了「盟友資訊系統」的操作及防禦能力，獲得了關鍵資訊系統的掌控權。 同時，其感知能力對0day漏洞利用的發現，其研究能力對新的漏洞挖掘，有可能會進入到美國情報機構的NOBUS（nobody but us, 沒有人能利用漏洞除了美國自己）的體系中，成為美國情報機構作業，或賦能給其盟友的資源。 此外，部分美國安全企業為美國政府、軍方客戶提供專屬性的能力輸出或營運加強，例如美國防毒企業麥克菲就專門為美國政府提供Government Signature（政府客戶專屬檢測規則），從而使美政府或軍方擁有比民品更強的差異化防護能力。 心智觀察所：CrowdStrike是美國主要的雲端、終端安全廠商之一，也是雲端原生網路安全的主要推手之一。這個事情讓我們認識到主機系統側安全能力建構的重要性。在公有雲虛擬機時代，我國目前的在網路安全的自主可控程度如何？國內政治企業目前Windows主機使用者的比重大概是多少？目前哪些安全產品在國內政企機構佔據主流？這次事件對中國網路安全自主可控的進程會產生怎樣的影響？ 蕭新光：本事件充分說明了：網路安全產品和技術的自立自強具有重大意義，它的重要性不亞於（甚至在某些場景下超過了）基礎資訊產品和技術的自主性的重要性。基礎資訊產品的自立自強價值在於，不僅能在脫鉤、斷供、「卡脖子」的情況下，依然能繼續支撐數位轉型發展，在我們產品具有特徵和先進性的時候更可以進入國際市場競爭。而網路安全的自立自強價值在於無論我們運作著何種資訊系統，我們都擁有自己的安全屏障。儘管我們在不同安全產品的技術能力上存在著參差不齊的情況，但我們整體的產品能力譜係是完整的，沒有基礎缺門，能夠滿足安全的基礎要求，這是我們實現數位轉型發展的重要保障基礎。我們更能以自主安全能力為第三世界國家和友善國家提供安全保障。…