“藍(lán)屏事件”突然爆發(fā)后，引起全球震動(dòng)，更深刻的警醒和反思仍在持續(xù)之中。心智觀察所就此次大規(guī)模藍(lán)屏事件背后的發(fā)生機(jī)制，國(guó)產(chǎn)操作系統(tǒng)自主可控等一系列問(wèn)題，和安天董事長(zhǎng)、首席技術(shù)架構(gòu)師肖新光先生進(jìn)行了深入交流和對(duì)話。

心智觀察所：CrowdStrike是一家什么樣背景的企業(yè)，是怎么實(shí)現(xiàn)快速崛起，在全球擁有龐大裝機(jī)規(guī)模的？

肖新光：CrowdStrike是一家以云和終端計(jì)算環(huán)境為主要防護(hù)目標(biāo)場(chǎng)景、以威脅檢測(cè)對(duì)抗為基礎(chǔ)能力、以主機(jī)系統(tǒng)側(cè)安全為產(chǎn)品形態(tài)、以安全托管服務(wù)為先進(jìn)運(yùn)行模式的企業(yè)。綜合來(lái)看，CrowdStrike的崛起是自身進(jìn)取、IT發(fā)展趨勢(shì)、資本布局和美國(guó)政府旋轉(zhuǎn)門運(yùn)作的綜合結(jié)果：

當(dāng)?shù)貢r(shí)間7月19日，由于CrowdStrike更新故障，Windows電腦顯示屏出現(xiàn)藍(lán)屏。

1）CrowdStrike在技術(shù)結(jié)構(gòu)設(shè)計(jì)、運(yùn)行理念和技術(shù)能力上的先進(jìn)性是根本內(nèi)因。CrowdStrike的創(chuàng)業(yè)者曾在Big AV（注：即超級(jí)殺毒軟件企業(yè)，是業(yè)內(nèi)對(duì)卡巴斯基、賽門鐵克、邁克菲這批老牌殺毒企業(yè)的統(tǒng)稱）反病毒體系中經(jīng)歷了多年的浸潤(rùn)和搏殺，深度理解主機(jī)系統(tǒng)安全的運(yùn)行機(jī)制和威脅對(duì)抗的基礎(chǔ)邏輯，同時(shí)又精確把握了先進(jìn)計(jì)算架構(gòu)的安全需求，把握了安全基石回歸主機(jī)系統(tǒng)和工作負(fù)載的機(jī)遇窗口，前瞻性地選擇了以安全托管訂閱為核心運(yùn)行模式的企業(yè)運(yùn)行方式。其安全能力側(cè)聚焦主機(jī)場(chǎng)景，構(gòu)建了下一代殺毒、智能主防和檢測(cè)響應(yīng)、外設(shè)管控、主機(jī)防火墻四大關(guān)鍵能力，并依托情報(bào)和惡意代碼分析能力作為服務(wù)延展，強(qiáng)化綜合安全運(yùn)營(yíng)能力，技術(shù)規(guī)劃和演進(jìn)路徑非常清晰，在威脅對(duì)抗中響應(yīng)敏捷。這些都成為其崛起的內(nèi)因；

2）先進(jìn)計(jì)算環(huán)境的安全需求和系統(tǒng)側(cè)安全的回歸為CrowdStrike的崛起提供了歷史機(jī)遇。在過(guò)去20年間，計(jì)算結(jié)構(gòu)發(fā)生的一個(gè)重大變化是資產(chǎn)體系由原有的IDC服務(wù)器-終端體系進(jìn)入了以云計(jì)算為主導(dǎo)的先進(jìn)計(jì)算結(jié)構(gòu)，虛擬化、容器等新的工作負(fù)載承載形式不斷迭代。應(yīng)對(duì)新興計(jì)算場(chǎng)景的安全需求，沒(méi)有Big AV時(shí)代的系統(tǒng)側(cè)安全底蘊(yùn)則難以承載，但簡(jiǎn)單地套用傳統(tǒng)殺毒軟件的模式并不足以應(yīng)對(duì)需求。與此同時(shí)，在資產(chǎn)云化、泛在接入、通訊協(xié)議普遍加密的背景下，以防火墻等網(wǎng)關(guān)設(shè)備為代表的安全邊界的價(jià)值全面衰減，安全的基礎(chǔ)基石重回主機(jī)和工作負(fù)載一側(cè)，安全預(yù)算的結(jié)構(gòu)也發(fā)生變化；加之美國(guó)整個(gè)的IT基礎(chǔ)場(chǎng)景相對(duì)集約化，提供了相對(duì)統(tǒng)一、集約的運(yùn)行環(huán)境和場(chǎng)景，使CrowdStrike可以將研發(fā)資源聚焦在先進(jìn)產(chǎn)品架構(gòu)、威脅感知捕獲、威脅檢測(cè)獵殺和運(yùn)行模式等價(jià)值主閉環(huán)上，加之硅谷本身包容創(chuàng)新的基本環(huán)境，這是其崛起的客觀條件；

3）CrowdStrike的崛起離不開(kāi)美國(guó)產(chǎn)業(yè)和金融資本的全力助推。在美國(guó)網(wǎng)絡(luò)空間安全的產(chǎn)業(yè)體系演進(jìn)過(guò)程中，在個(gè)人計(jì)算革命的周期中，誕生了賽門鐵克、邁克菲、趨勢(shì)等為代表的面向端點(diǎn)的老牌殺毒企業(yè)；在信息高速公路建設(shè)的周期中，興起了Netscreen、Fortinet、Palo Alto Networks等網(wǎng)關(guān)側(cè)的創(chuàng)業(yè)明星，系統(tǒng)側(cè)和網(wǎng)關(guān)側(cè)，形成了安全基礎(chǔ)能力的兩大陣營(yíng)。在計(jì)算結(jié)構(gòu)發(fā)生變化、威脅形勢(shì)快速演進(jìn)的背景下，老牌殺毒企業(yè)開(kāi)始表現(xiàn)出技術(shù)架構(gòu)落后、威脅響應(yīng)的敏感性和銳度下降的問(wèn)題，而網(wǎng)關(guān)側(cè)企業(yè)又很難在短時(shí)間內(nèi)快速?gòu)浹a(bǔ)系統(tǒng)側(cè)安全基因的缺失，無(wú)論是大場(chǎng)景需求，還是產(chǎn)業(yè)能力完善、資本概念的需求，都迫切需要打造出一個(gè)具有新銳性的系統(tǒng)側(cè)安全明星企業(yè)，在此過(guò)程中Bit9、Cylance、Carbon Black也一度被資本追捧，但最終是由CrowdStrike奪得頭籌。這一結(jié)果離不開(kāi)強(qiáng)有力的資本持續(xù)助力。作為CrowdStrike主要投資者的華平資本時(shí)任董事長(zhǎng)曾擔(dān)任美國(guó)財(cái)政部部長(zhǎng)，也是著名的反華政客。

產(chǎn)業(yè)和金融資本一直是美國(guó)全球產(chǎn)業(yè)競(jìng)爭(zhēng)的超級(jí)后援團(tuán)。例如在上世紀(jì)反病毒產(chǎn)品的最初競(jìng)爭(zhēng)格局中，美國(guó)企業(yè)產(chǎn)品能力并不在最高水平，歐洲軍團(tuán)才是產(chǎn)品能力（特別是檢測(cè)能力）的翹楚。在這個(gè)過(guò)程中，美國(guó)通過(guò)壟斷資本的利益逐漸化解了歐洲的安全產(chǎn)品體系，如：在資本操盤下，由邁克菲收購(gòu)了當(dāng)時(shí)歐洲最大的反病毒企業(yè)Dr Soloman。后來(lái)英國(guó)代表性的安全企業(yè)Sophos也被美國(guó)產(chǎn)業(yè)資本并購(gòu)。

4）CrowdStrike的崛起亦有美國(guó)政商旋轉(zhuǎn)門的背景，與美國(guó)全球霸權(quán)布局高度相關(guān)。CrowdStrike有鮮明的旋轉(zhuǎn)門企業(yè)特點(diǎn)，其創(chuàng)業(yè)團(tuán)隊(duì)成員和多位高管都有美國(guó)情報(bào)機(jī)構(gòu)任職履歷，在其發(fā)展中，通過(guò)多次炮制抹黑中國(guó)的技術(shù)報(bào)告，為美國(guó)軍方和情報(bào)機(jī)構(gòu)交上了“投名狀”，而美國(guó)政府也“投桃報(bào)李”，將CrowdStrike列為其在“向前防御”戰(zhàn)略和對(duì)外產(chǎn)品輸出的一個(gè)重點(diǎn)層次，幫助其在國(guó)際市場(chǎng)快速崛起。

5）CrowdStrike沒(méi)有出現(xiàn)有力的國(guó)際挑戰(zhàn)競(jìng)爭(zhēng)者，也與美政府直接打壓國(guó)際競(jìng)爭(zhēng)者相關(guān)。在商業(yè)競(jìng)爭(zhēng)中，美政府相關(guān)部門反復(fù)下場(chǎng)打壓其主要國(guó)際競(jìng)爭(zhēng)者已經(jīng)屢見(jiàn)不鮮。特別是對(duì)中俄廠商的干擾打壓尤為突出。

美情報(bào)機(jī)構(gòu)NSA 從2010年制定的“拱形計(jì)劃”（CamberDaDa），陸續(xù)圈定了重點(diǎn)關(guān)注的全球23家可能發(fā)現(xiàn)和影響其情報(bào)活動(dòng)的網(wǎng)絡(luò)安全企業(yè)，其中約70%的企業(yè)在歐洲（17家），26%的企業(yè)在亞洲（6家），但沒(méi)有任何一家美國(guó)及“五眼聯(lián)盟”國(guó)家的網(wǎng)絡(luò)安全企業(yè)上榜。

這個(gè)計(jì)劃最重要針對(duì)目標(biāo)就是俄羅斯著名安全廠商卡巴斯基?？ò退够鶜v史悠久，技術(shù)長(zhǎng)期領(lǐng)先，國(guó)際業(yè)務(wù)規(guī)模較大，品牌知名度很高。2017年，美國(guó)國(guó)土安全部就以國(guó)家安全為由，發(fā)布指令要求“從所有聯(lián)邦信息系統(tǒng)中刪除和停止使用卡巴斯基產(chǎn)品”；今年6月20日，美國(guó)商務(wù)部工業(yè)和安全局(BIS)宣布全面禁止卡巴斯基實(shí)驗(yàn)室及其所有附屬公司、子公司和母公司在美國(guó)提供任何產(chǎn)品或服務(wù)，該禁令已于7月20日起正式生效。

我所工作的安天也對(duì)這種打壓干擾有深刻的體會(huì)。安天是上榜CamberDaDa計(jì)劃中的唯一中國(guó)廠商，受此影響，我們?cè)?013年之后只能逐步停止了對(duì)美國(guó)安全企業(yè)的引擎授權(quán)業(yè)務(wù)。另外，因長(zhǎng)期分析美方情報(bào)機(jī)構(gòu)的攻擊活動(dòng)，2022年我司被美國(guó)國(guó)會(huì)有關(guān)“中國(guó)網(wǎng)絡(luò)安全能力”聽(tīng)證會(huì)報(bào)告點(diǎn)名，致使我們進(jìn)一步失去了相關(guān)亞洲國(guó)家市場(chǎng)。

心智觀察所：據(jù)分析，發(fā)生藍(lán)屏的主要功能模塊CSAgent.sys帶有CrowdStrike和微軟的雙重?cái)?shù)字簽名。微軟第一時(shí)間撇清關(guān)系，包括網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局主管也站出來(lái)給微軟站臺(tái)。怎么理解CrowdStrike和微軟在這次事件中各自應(yīng)該承擔(dān)的責(zé)任？

肖新光：安天在《CrowdStrike導(dǎo)致大規(guī)模系統(tǒng)崩潰事件的技術(shù)分析》這篇報(bào)告中對(duì)本次藍(lán)屏事件進(jìn)行了詳細(xì)分析，問(wèn)題發(fā)生的機(jī)理是：CrowdStrike主防的核心驅(qū)動(dòng)CSAgent.sys的模塊在讀取、解析相關(guān)的配置策略文件時(shí)發(fā)生異常，進(jìn)而導(dǎo)致Windows系統(tǒng)藍(lán)屏崩潰且重啟后繼續(xù)藍(lán)屏的嚴(yán)重后果。這與CrowdStrike公布的原因是一致的。CSAgent.sys之所以帶有CrowdStrike和微軟文件雙簽，主要來(lái)自微軟對(duì)Windows的強(qiáng)制性內(nèi)核模塊和驅(qū)動(dòng)的簽名需求。通常來(lái)看，軟件應(yīng)用都可以去各個(gè)機(jī)構(gòu)申請(qǐng)軟件證書(shū)，以形成可信認(rèn)證鏈，驗(yàn)證軟件模塊與發(fā)布側(cè)的一致性，對(duì)抗攻擊者對(duì)產(chǎn)品的篡改。但如果出現(xiàn)大量的攻擊者申請(qǐng)證書(shū)或入侵軟件開(kāi)發(fā)者系統(tǒng)，竊取簽名證書(shū)，簽發(fā)惡意代碼的情況，這些惡意程序可以作為有簽名的驅(qū)動(dòng)和內(nèi)核模塊來(lái)加載。針對(duì)此，微軟形成了一套自身的證書(shū)簽發(fā)管理機(jī)制。強(qiáng)制要求驅(qū)動(dòng)和內(nèi)核模塊同時(shí)需要微軟的簽名才能在引導(dǎo)鏈上加載。這可以視為一個(gè)“雙保險(xiǎn)”機(jī)制。

但這個(gè)機(jī)制核心解決的還是確保引導(dǎo)鏈加載的均為可信對(duì)象，但并不能解決簽名驅(qū)動(dòng)本身的穩(wěn)定性、可靠性和安全性問(wèn)題?？陀^來(lái)說(shuō)，就本次事件而言，微軟的責(zé)任較小，主要責(zé)任應(yīng)當(dāng)由CrowdStrike承擔(dān)。

心智觀察所：如果模塊的穩(wěn)定性對(duì)系統(tǒng)內(nèi)核會(huì)有直接影響，Windows將有關(guān)權(quán)限外放給網(wǎng)絡(luò)安全產(chǎn)品是否明智？相較于Mac OS等競(jìng)品，Windows引發(fā)藍(lán)屏保護(hù)的情況較為頻繁，一直被用戶詬病，怎么理解這種情況？

肖新光：微軟和蘋果在運(yùn)營(yíng)模式上有巨大差異。微軟崛起，源于上世紀(jì)80年代由IBM確定了IBM -PC的體系結(jié)構(gòu)，形成了由英特爾提供X86架構(gòu)的CPU、微軟提供操作系統(tǒng)、IBM輸出PC主機(jī)標(biāo)準(zhǔn)的這樣一套框架，使個(gè)人計(jì)算革命走入了大生態(tài)支撐的加速運(yùn)動(dòng)。這一背景決定了從MS-DOS到Windows系統(tǒng)采取的運(yùn)行方式是廣泛兼容各種硬外設(shè)件、支撐開(kāi)放式軟件生態(tài)。驅(qū)動(dòng)底層接口不僅僅是為安全廠商開(kāi)放，而是要支持大量板卡、外設(shè)硬件，因此必須開(kāi)放相關(guān)的驅(qū)動(dòng)標(biāo)準(zhǔn)。

而Mac OS的硬件選型是在一個(gè)相對(duì)封閉的供應(yīng)鏈體系結(jié)構(gòu)內(nèi)進(jìn)行的，其CPU、板卡、顯卡、包括屏幕外設(shè)等都是基于嚴(yán)格的自我供給或致密合作的供應(yīng)鏈體系，其硬件擴(kuò)展整體上是在外設(shè)層面，而不是板卡層面，其軟件應(yīng)用也是基于單一的軟件市場(chǎng)Apple Store來(lái)進(jìn)行閉環(huán)運(yùn)營(yíng)的。蘋果系統(tǒng)本身要承載的硬件兼容性和軟件穩(wěn)定性壓力都相對(duì)較小。Apple Store是蘋果系統(tǒng)獲取應(yīng)用的主要來(lái)源渠道，因此形成了較強(qiáng)的源管控，這一機(jī)制降低了蘋果用戶下載和運(yùn)行惡意代碼的概率（當(dāng)然，在歷史上Apple Store被穿透的事件也屢見(jiàn)不鮮）。