CrowdStrike絕非“弱雞”，它在美國反華背景下成長壯大-心智觀察所、肖新光

“藍屏事件”突然爆發後，引起全球震動，更深刻的警醒和反思仍在持續之中。心智觀察所就此次大規模藍屏事件背後的發生機制，國產操作系統自主可控等一系列問題，和安天董事長、首席技術架構師肖新光先生進行了深入交流和對話。

心智觀察所：CrowdStrike是一傢什麼樣背景的企業，是怎麼實現快速崛起，在全球擁有龐大裝機規模的？

**肖新光：**CrowdStrike是一家以雲和終端計算環境為主要防護目標場景、以威脅檢測對抗為基礎能力、以主機系統側安全為產品形態、以安全託管服務為先進運行模式的企業。綜合來看，CrowdStrike的崛起是自身進取、IT發展趨勢、資本佈局和美國政府旋轉門運作的綜合結果：

當地時間7月19日，由於CrowdStrike更新故障，Windows電腦顯示屏出現藍屏。

1）CrowdStrike在技術結構設計、運行理念和技術能力上的先進性是根本內因。CrowdStrike的創業者曾在Big AV（注：即超級殺毒軟件企業，是業內對卡巴斯基、賽門鐵克、邁克菲這批老牌殺毒企業的統稱）反病毒體系中經歷了多年的浸潤和搏殺，深度理解主機系統安全的運行機制和威脅對抗的基礎邏輯，同時又精確把握了先進計算架構的安全需求，把握了安全基石迴歸主機系統和工作負載的機遇窗口，前瞻性地選擇了以安全託管訂閲為核心運行模式的企業運行方式。其安全能力側聚焦主機場景，構建了下一代殺毒、智能主防和檢測響應、外設管控、主機防火牆四大關鍵能力，並依託情報和惡意代碼分析能力作為服務延展，強化綜合安全運營能力，技術規劃和演進路徑非常清晰，在威脅對抗中響應敏捷。這些都成為其崛起的內因；

2）先進計算環境的安全需求和系統側安全的迴歸為CrowdStrike的崛起提供了歷史機遇。在過去20年間，計算結構發生的一個重大變化是資產體系由原有的IDC服務器-終端體系進入了以雲計算為主導的先進計算結構，虛擬化、容器等新的工作負載承載形式不斷迭代。應對新興計算場景的安全需求，沒有Big AV時代的系統側安全底藴則難以承載，但簡單地套用傳統殺毒軟件的模式並不足以應對需求。與此同時，在資產雲化、泛在接入、通訊協議普遍加密的背景下，以防火牆等網關設備為代表的安全邊界的價值全面衰減，安全的基礎基石重回主機和工作負載一側，安全預算的結構也發生變化；加之美國整個的IT基礎場景相對集約化，提供了相對統一、集約的運行環境和場景，使CrowdStrike可以將研發資源聚焦在先進產品架構、威脅感知捕獲、威脅檢測獵殺和運行模式等價值主閉環上，加之硅谷本身包容創新的基本環境，這是其崛起的客觀條件；

3）CrowdStrike的崛起離不開美國產業和金融資本的全力助推。在美國網絡空間安全的產業體系演進過程中，在個人計算革命的週期中，誕生了賽門鐵克、邁克菲、趨勢等為代表的面向端點的老牌殺毒企業；在信息高速公路建設的週期中，興起了Netscreen、Fortinet、Palo Alto Networks等網關側的創業明星，系統側和網關側，形成了安全基礎能力的兩大陣營。在計算結構發生變化、威脅形勢快速演進的背景下，老牌殺毒企業開始表現出技術架構落後、威脅響應的敏感性和鋭度下降的問題，而網關側企業又很難在短時間內快速彌補系統側安全基因的缺失，無論是大場景需求，還是產業能力完善、資本概念的需求，都迫切需要打造出一個具有新鋭性的系統側安全明星企業，在此過程中Bit9、Cylance、Carbon Black也一度被資本追捧，但最終是由CrowdStrike奪得頭籌。這一結果離不開強有力的資本持續助力。作為CrowdStrike主要投資者的華平資本時任董事長曾擔任美國財政部部長，也是著名的反華政客。

產業和金融資本一直是美國全球產業競爭的超級後援團。例如在上世紀反病毒產品的最初競爭格局中，美國企業產品能力並不在最高水平，歐洲軍團才是產品能力（特別是檢測能力）的翹楚。在這個過程中，美國通過壟斷資本的利益逐漸化解了歐洲的安全產品體系，如：在資本操盤下，由邁克菲收購了當時歐洲最大的反病毒企業Dr Soloman。後來英國代表性的安全企業Sophos也被美國產業資本併購。

4）CrowdStrike的崛起亦有美國政商旋轉門的背景，與美國全球霸權佈局高度相關。CrowdStrike有鮮明的旋轉門企業特點，其創業團隊成員和多位高管都有美國情報機構任職履歷，在其發展中，通過多次炮製抹黑中國的技術報告，為美國軍方和情報機構交上了“投名狀”，而美國政府也“投桃報李”，將CrowdStrike列為其在“向前防禦”戰略和對外產品輸出的一個重點層次，幫助其在國際市場快速崛起。

5）CrowdStrike沒有出現有力的國際挑戰競爭者，也與美政府直接打壓國際競爭者相關。在商業競爭中，美政府相關部門反覆下場打壓其主要國際競爭者已經屢見不鮮。特別是對中俄廠商的干擾打壓尤為突出。

美情報機構NSA 從2010年制定的“拱形計劃”（CamberDaDa），陸續圈定了重點關注的全球23家可能發現和影響其情報活動的網絡安全企業，其中約70%的企業在歐洲（17家），26%的企業在亞洲（6家），但沒有任何一家美國及“五眼聯盟”國家的網絡安全企業上榜。

這個計劃最重要針對目標就是俄羅斯著名安全廠商卡巴斯基。卡巴斯基歷史悠久，技術長期領先，國際業務規模較大，品牌知名度很高。2017年，美國國土安全部就以國家安全為由，發佈指令要求“從所有聯邦信息系統中刪除和停止使用卡巴斯基產品”；今年6月20日，美國商務部工業和安全局(BIS)宣佈全面禁止卡巴斯基實驗室及其所有附屬公司、子公司和母公司在美國提供任何產品或服務，該禁令已於7月20日起正式生效。

我所工作的安天也對這種打壓干擾有深刻的體會。安天是上榜CamberDaDa計劃中的唯一中國廠商，受此影響，我們在2013年之後只能逐步停止了對美國安全企業的引擎授權業務。另外，因長期分析美方情報機構的攻擊活動，2022年我司被美國國會有關“中國網絡安全能力”聽證會報告點名，致使我們進一步失去了相關亞洲國家市場。

心智觀察所：據分析，發生藍屏的主要功能模塊CSAgent.sys帶有CrowdStrike和微軟的雙重數字簽名。微軟第一時間撇清關係，包括網絡安全和基礎設施安全局主管也站出來給微軟站台。怎麼理解CrowdStrike和微軟在這次事件中各自應該承擔的責任？

**肖新光：**安天在《CrowdStrike導致大規模系統崩潰事件的技術分析》這篇報告中對本次藍屏事件進行了詳細分析，問題發生的機理是：CrowdStrike主防的核心驅動CSAgent.sys的模塊在讀取、解析相關的配置策略文件時發生異常，進而導致Windows系統藍屏崩潰且重啓後繼續藍屏的嚴重後果。這與CrowdStrike公佈的原因是一致的。CSAgent.sys之所以帶有CrowdStrike和微軟文件雙籤，主要來自微軟對Windows的強制性內核模塊和驅動的簽名需求。通常來看，軟件應用都可以去各個機構申請軟件證書，以形成可信認證鏈，驗證軟件模塊與發佈側的一致性，對抗攻擊者對產品的篡改。但如果出現大量的攻擊者申請證書或入侵軟件開發者系統，竊取簽名證書，簽發惡意代碼的情況，這些惡意程序可以作為有簽名的驅動和內核模塊來加載。針對此，微軟形成了一套自身的證書籤發管理機制。強制要求驅動和內核模塊同時需要微軟的簽名才能在引導鏈上加載。這可以視為一個“雙保險”機制。

但這個機制核心解決的還是確保引導鏈加載的均為可信對象，但並不能解決簽名驅動本身的穩定性、可靠性和安全性問題。客觀來説，就本次事件而言，微軟的責任較小，主要責任應當由CrowdStrike承擔。

心智觀察所：如果模塊的穩定性對系統內核會有直接影響，Windows將有關權限外放給網絡安全產品是否明智？相較於Mac OS等競品，Windows引發藍屏保護的情況較為頻繁，一直被用户詬病，怎麼理解這種情況？

**肖新光：**微軟和蘋果在運營模式上有巨大差異。微軟崛起，源於上世紀80年代由IBM確定了IBM -PC的體系結構，形成了由英特爾提供X86架構的CPU、微軟提供操作系統、IBM輸出PC主機標準的這樣一套框架，使個人計算革命走入了大生態支撐的加速運動。這一背景決定了從MS-DOS到Windows系統採取的運行方式是廣泛兼容各種硬外設件、支撐開放式軟件生態。驅動底層接口不僅僅是為安全廠商開放，而是要支持大量板卡、外設硬件，因此必須開放相關的驅動標準。

而Mac OS的硬件選型是在一個相對封閉的供應鏈體系結構內進行的，其CPU、板卡、顯卡、包括屏幕外設等都是基於嚴格的自我供給或緻密合作的供應鏈體系，其硬件擴展整體上是在外設層面，而不是板卡層面，其軟件應用也是基於單一的軟件市場Apple Store來進行閉環運營的。蘋果系統本身要承載的硬件兼容性和軟件穩定性壓力都相對較小。Apple Store是蘋果系統獲取應用的主要來源渠道，因此形成了較強的源管控，這一機制降低了蘋果用户下載和運行惡意代碼的概率（當然，在歷史上Apple Store被穿透的事件也屢見不鮮）。

由於 Windows的“初始設定”就是允許用户開放式地下載、安裝、使用各類應用，這既增加了被攻擊的風險，也使其無法對軟件生態進行收斂的品控。因此微軟需要的是更強有力的安全生態，而不能拋棄其本身的開放式和硬件兼容的傳統優勢，來片面地學習蘋果的運營經驗。微軟也有部分的閉合運營生態，但Surface平板並不是Windows用户的主品選擇；微軟推出了自己的應用商店Windows Store，但用户的主流習慣依然是從網絡下載。本次事件也並不能根本改變微軟的運行模式。

要站在這些大的背景下，看待Windows系統和Mac OS的穩定性差異。與此同時，這也給我們信創信息系統如何走好供應鏈和軟件生態，提供了兩種差異化參考樣板。

心智觀察所：CrowdStrike包括更早的Palantir等企業，慣於通過炒作中俄威脅博取流量，拉昇估值，也深度融入美國情報界，根據您的觀察，這些企業除了防禦之外，是否也是美國賽博戰各類APT的幕後供應商？

**肖新光：**目前沒有證據可以作這樣的判斷。從美國網絡安全產業機構來看，其有對應的分工模式。為美國情報機構供給攻擊能力、甚至直接下場作業的廠商，多為情報承包商或軍工承包商，而像CrowdStrike這樣的資本寵兒，其能力輸出主要還是在防禦側。雖然CrowdStrike在支撐美國網空霸權的過程中，頻繁地交納抹黑他國的網絡安全問題的報告，作為“投名狀”，但從利益立場來講，其背後的資本還是需要強化其作為國際化產品企設，對資本利益來説，需要這些產品來構建面向全球用户的信任。從美國情報機構來看，其產品的廣泛分佈，本身就構成了廣泛的感知價值，讓這些企業參與攻擊作業或能力供給，是得不償失的。

庫爾茨於宕機風波後首度接受採訪NBC“今日秀”截圖

但與此同時，我們必須警惕，由於美國情報機構與規模型IT廠商聯動的運行模式由來已久，“稜鏡”系統的曝光就是鐵證，而CrowdStrike採用廣泛的託管運行模式，可以説是基於深度採集用户信息、匯聚到自身服務器上，來達到運行效果，這些數據很有可能在美國情報機構窺視的範圍之內。同時，在美軍推動“向前防禦”的戰略過程中，相關的安全產品本身也具有了軍事裝備的屬性，其所進行的安全託管，雖以“加強盟友防禦並提高共享網絡免受網絡威脅的彈性”為説辭，但實際上採取雲化、託管等運行模式，實際讓美方掌握了“盟友信息系統”的操作及防禦能力，獲得了關鍵信息系統的掌控權。

同時，其感知能力對0day漏洞利用的發現，其研究能力對新的漏洞挖掘，有可能會進入到美國情報機構的NOBUS（nobody but us, 沒有人能利用漏洞除了美國自己）的體系中，成為美國情報機構作業，或者賦能給其盟友的資源。

此外，部分美國安全企業為美國政府、軍方客户提供專屬性的能力輸出或者運營加強，例如美國反病毒企業邁克菲就專門為美國政府提供Government Signature（政府客户專屬檢測規則），從而使美政府或軍方擁有比民品更強的差異化防護能力。

心智觀察所：CrowdStrike是美國主要的雲、終端安全廠商之一，是雲原生網絡安全的主要推手之一。這個事情讓我們認識到主機系統側安全能力建設的重要性。在公有云虛擬機時代，我國目前的在網絡安全的自主化可控程度如何？國內政企機構目前Windows主機用户的比重大概是多少？目前哪些安全產品在國內政企機構中佔據主流？這次事件對中國網絡安全自主可控的進程會產生怎樣的影響？

**肖新光：**本事件充分説明了：網絡安全產品和技術的自立自強具有重大意義，它的重要性不亞於（甚至在某些場景下超過了）基礎信息產品和技術的自主性的重要性。基礎信息產品的自立自強價值在於，不僅能在脱鈎、斷供、“卡脖子”的情況下，依然能繼續支撐數字化轉型發展，在我們產品具有特點和先進性的時候更可以進入國際市場競爭。而網絡安全的自立自強價值在於無論我們運行着何種信息系統，我們都擁有自己的安全屏障。儘管我們在不同安全產品的技術能力上存在着參差不齊的情況，但我們整體的產品能力譜系是完整的，沒有基礎缺門，能夠滿足安全的基礎要求，這是我們實現數字化轉型發展的重要保障基礎。我們更能以自主安全能力為第三世界國家和友好國家提供安全保障。

長期以來，國內在網絡安全產品的採購過程中，相對更願意去堆砌盒子，加上互聯網免費安全模式帶來的影響，使得以軟件為形態的、主機終端側的安全產品長期未受到應有的重視。但隨着資產雲化、泛在接入和加密流量的普遍使用，傳統邊界衰減失效已經成為必然，系統側安全基石作用的迴歸效應越來越明顯。本次事件更讓我們意識到，主機系統安全能力的重要性，CrowdStrike所展示的惡意代碼（病毒）檢測防護、內核級主動防禦、分佈式主機防火牆和威脅阻斷、外設和硬件管控等模塊化能力，也成為了我們很好的能力對標物。我們需要打造與之比肩、甚至超越的系統安全能力。這次事件進一步地讓我們看到安全產品的本質是軟件，而非載體設備。安全軟件的靈魂是能力迭代，而不是軟件功能。安全產品的自身可控，本質上是安全基礎能力、模塊、算法的自主性，而不是簡單的載體的自主性。聚焦於防禦有效性、保持威脅對抗的敏捷迭代，與此同時，做好安全產品本身的安全性、穩定性及可靠性。

從國內需求場景來看，Windows系統雖然在國內政企機構中的使用佔比在不斷下降，但在一般的企業和個人用户中仍然是絕對主流。與此同時，國內終端信創主機佔比不斷提升。公有云已經成為較為成熟的產業，而私有云、混合雲也處在新的建設熱潮中。國內系統側需求場景複雜，防禦戰線較長。供給側則處在百花齊放的狀態中，有多家廠商都有一定的自身特色，但還未產生領域的終局贏家。

心智觀察所：在您看來數據驅動的AI大模型技術會對網絡安全領域乃至雲計算技術棧帶來怎樣影響，公司在這方面是否已有實踐？

**肖新光：**以AI大模型為代表的智能技術，對網絡安全帶來了三個需要關注的問題：一是大模型技術本身的安全性問題，二是大模型基礎設施成為新的攻擊目標和場景，三是大模型對網絡攻擊的賦能和加速問題。根據這幾年的觀察，我感覺國內的一定程度上過度關注AI大模型本身的安全問題，但對於後兩者的關注、研究和投入是不夠的。

其實新技術帶來的最突出風險，往往都是其對現有風險的快速賦能與加速。大模型對網絡攻擊的助力作用極為明顯，可以在知情偵察、腳本增強、輔助開發、社工活動、漏洞研究、有效負載生成、異常檢測規避、安全功能繞過、資源開發等階段，提供全生命週期完整賦能，能夠對攻擊殺傷鏈的偵察追蹤、武器構建、載荷投遞、漏洞利用、安裝植入、持續控制、目標達成的全過程起到助力作用，導致攻擊自動化能力的快速提升、攻擊成本的快速下降，這一趨勢本身更值得重視。

同時，扼制新技術風險的關鍵，往往就在於技術本身。例如互聯網技術帶來了威脅的快速流動，但同時也帶來了安全能力的快速部署和敏捷響應；雲計算帶來了針對其體系的攻擊從而導致整體崩潰的重大風險，但這種體系特點強化安全後，也能夠形成高度彈性的防禦體系結構；大模型和AI能夠為攻擊賦能，當然也能為提升防禦能力賦能。其不僅能改善檢測、識別等防禦能力的效果，更能有效輔助海量執行體（惡意代碼）分析、流量緩存分析多源日誌（事件）分析、暴露（攻擊）面分析、用户與實體分析，提升多源情報匯聚整合的效果，對全局策略（基線）編排、全局決策、響應編排、綜合風險分析收斂提供積極的價值。

雲是一個彈性算力體系，雲的體系結構先天是大模型平台的基礎。大模型既需要大量的GPU算力支撐，也有很多計算任務可以由CPU來分流和承載，例如微軟的雲算力在一半的時間都分配給OpenAI來使用。

安天在很早就形成了依靠規模算力體系和工程師團隊經驗迭代運行的技術底座。我們的賽博超腦體系，已經累計百億計樣本（含白）的向量分析，目前每日樣本增量超過200萬。我們在去年嘗試應用開源模型但調試效果不佳的情況下，自主研發了VILLM威脅分析大模型。我們重點放在加強執行體樣本的分析和同源性檢測，強化特徵工程建設的收斂工程目標，聚焦以二進制執行體樣本為對象，以突破token和上下文場地限制作為主要突破方向，取得了較快的進展。後續，我們也在探索VILLM的其他應用場景，以期實現其對防禦體系的綜合賦能。

7月19日，澳大利亞悉尼一家超市的自助結賬終端，一名顧客在藍屏前結賬

心智觀察所：因為殺毒軟件導致大規模藍屏死機的情況之前還有過，比如2010年4月邁克菲誤殺系統文件，造成數十萬電腦死機。盤點這些殺毒軟件因更新的病毒定義文件導致的藍屏問題，會發現其中的共性是往往會發生在週五。之前上揚軟件的CEO在接受訪談説，他們總結出來的經驗教訓就是不要在週五給客户更新軟件。如何解讀此類事件的“週五魔咒”？

**肖新光：**安全軟件導致系統不穩定甚至藍屏，可能的原因很多，比較典型的包括：1）安全軟件本身出現誤報、誤殺，清除了關鍵系統文件、關鍵的應用驅動，從而導致系統崩潰；2）安全軟件因自身機理問題，導致系統死鎖或崩潰；3）安全軟件在與威脅的對抗過程中，遭到針對性攻擊，或者與攻擊樣本的內存對決等影響了系統穩定；4）安全軟件需要大量使用底層驅動和鈎子，可能與其他軟件發生衝突，特別是當兩種以上的主機安全產品在同一主機共存時，這種情況更易發生。

以上幾種情況的發生概率和約束方法都是不一樣的。關於誤報誤殺問題，過去發生過的此類安全事件包括：2005年，趨勢（Trend Micro）的企業殺毒軟件Officescan和VirusBuster因接收並使用了包含問題的升級文件導致系統故障，波及650多家公司；2007年，賽門鐵克的諾頓殺毒軟件誤殺簡體中文版Windows XP系統的動態鏈接庫導致系統藍屏，國內有約五萬台電腦受到了影響；2010年，邁克菲的反病毒軟件VirusScan誤殺Windows XP的系統文件，引起全球數百萬台電腦崩潰，這幾起事件都是由誤報導致。目前主流的安全廠商，通過充分有效的海量白名單的持續積累和誤報測試，已經形成了較好的誤報測試能力，微軟的開發者支持計劃也能夠幫助安全廠商比較完整地獲取微軟的系統和DLL文件。同時在檢測中，輔以簽名驗證技術，可以比較有效地降低反病毒軟件的誤殺、誤報。

安全軟件的升級，分為功能性升級和能力型升級兩種。功能性升級和一般的應用軟件沒有本質差別；能力性升級則涉及到比較多的能力點，包括惡意代碼檢測、漏洞檢測、補丁升級、配置策略和基線管理、行為檢測和主動防禦等。這些機制已經比較好的歸一化為特徵庫升級，比如惡意代碼檢測，主要是依靠特徵庫的持續升級。惡意代碼檢測規則更新是安全能力的最基本面，升級也最為頻繁。我們出於品控考慮，將病毒庫的升級頻率從每小時一次降到每日十次，但這已經是底線，如再降低，則無法再有效防範惡意代碼。不過，惡意代碼檢測是線性代價的，相應的模塊升級對系統可靠性穩定性的影響較低。只要不發生嚴重誤報、誤殺，或者遭遇攻擊者構造的特定樣本攻擊，通常不會產生藍屏級別的故障。容易對系統穩定性和可靠性帶來影響的，主要是主防機制、熱補丁、特定的Rootkit或者頑固感染病毒的查殺，而Rootkit或者感染式病毒的查殺這兩種情況，都是在用户已經被植入或感染的時候才會發生的，但主防防禦機制要保證防禦效果，就必須依賴於系統內核驅動和鈎子。保證主機驅動的穩定，特別是在主防相關模塊的更新時保證其穩定，這是主機防護最關鍵的質量命題。

計算機病毒和攻擊者是不過週末的，在瞭解安全軟件的機理之後就會發現，所謂的“星期五魔咒”導致週五不更新是胡扯的。安全軟件的安全能力日常更新其實隨時都在進行。當然運營工作是有周期性的，週末用户側的IT和安全響應人員往往休假不在崗位，安全廠商本身值守人員也比工作日少。如果出現安全事故，確實存在響應人員不足的情況。但著名的魔窟勒索蠕蟲大爆發事件，也因為當時是週五，還有大量節點未開機，所以逃過一劫。而安全業界就是依靠週五傍晚緊急啓動，快速奮戰快速發佈免疫、專殺，包括週一開機指南，才有效減少了蠕蟲受害節點數量。總之，所有問題都要科學嚴謹、具體問題具體分析，不能不負責任地給出“玄學”風格的論述。

安全產品需要在快速響應機制和其引入的可靠性風險之間做出艱難抉擇：在應對重大突發威脅、0day漏洞在野線索、漏洞成熟PoC突然出現等情況時，是快速分發能力、實現快速處置，還是進行充分的穩定測試後再發布？前者保障了響應時效，但有可能引發可靠性、穩定性方面的問題；後者雖然控制了穩定性風險，但有可能導致失去戰機，延長了用户暴露在威脅中的時間窗口，增加陷落風險。對每一個能力型安全企業都是一個充滿風險的選擇題。

安全軟件要考慮的不只是穩定性和能力的平衡，更是在品控約束下如何跑贏攻擊活動和威脅的演化。

心智觀察所：CrowdStrike過去一直抹黑中國，這次重大事故的處理態度也顯得傲慢，作為同行，怎麼看待CrowdStrike的產品和技術實力？不可否認的是，CrowdStrike在產品研發和運營層面有着超強實力，目前這類企業往往採用ToB端訂閲的方式和客户合作，從研發運營角度看，我國同類型企業的機會和挑戰有哪些？

**肖新光：**我對CrowdStrike有着立場反感，但同時也認可其產品和技術方面的實力。但這次事件中CrowdStrike後續的聯動處理整體來看是傲慢的和不盡如人意的。比如其恢復信息的發佈居然是通過用户登錄認證才能看到的一個頁面，忽視了受影響的用户主機已經藍屏停擺，根本不具備登錄其網站查看信息的條件；另外，其僅提供了安全模式下進入對應目錄，刪除特定文件的手工處置方式，卻不願意通過舉手之勞封裝一個處置工具，導致網管和用户被迫以極其低效的方式逐一處理；對於雲租户不具備把主機啓動到安全模式下的條件，CrowdStrike在很長時間也沒有給出對應的解決方案。而對於受影響最大的、使用了Bitlocker引導卷加密的用户，除了建議用户準備好恢復密鑰，也長時間沒有給出進一步的輔助方法。

就訂閲模式、託管運營這個問題，目前國內信息基礎場景較為碎片化，有很多隔離區域和孤島節點，升級運營代價成本較大，且有很大的合規性的限制。特別是在大量系統和內網是隔離狀態的情況下，是不可能開展託管服務的。物理隔離在一定的歷史階段是有效的安全策略，但現在看來，其在阻斷一部分威脅的同時，也阻斷了系統安全能力的快速分發和協同彈性的響應，當然也為訂閲模式、託管運營的安全運行模式帶來障礙。數字化基礎較好的和先天在網的企業機構，則有可能在訂閲模式、託管運營模式中率先獲益。

心智觀察所：CrowdStrike服務的西方軍政機構、大型企業等客户，有着嚴格的品控要求，為什麼還是發生了這次這樣嚴重的質量事故，其中的教訓是什麼？

**肖新光：**如前文所説，主防系統一方面需要有效應對安全威脅、快速迭代，另一方面又要充分保證系統的穩定，要實現兩者平衡的確非常艱難。但本次CrowdStrike事件依然有許多教訓值得吸取。

CrowdStrike團隊的能力起點是比較高的，其核心團隊成員曾經歷過反病毒主機安全時代安全對抗的洗禮，有系統側的視野和經驗傳承，研發研究隊伍精英雲集。但威脅對抗烈度、難度也持續增加，不再是相對容易的遏制非定向感染式病毒傳播和蠕蟲擴散，而是要面對免殺木馬、內存作業、混合執行體攻擊等各種載荷，面對0day漏洞利用、社工欺騙掩護、RoP攻擊、格式文檔溢出等突防方式和戰術運用。在雲工作負載層面場景也更為複雜，主防的結構體系和規則策略規劃方面，無法完全沿襲惡意代碼面向載荷的特徵庫的經驗慣性。既要保證防禦的有效性、又要使升級具有高度管理性，需要設計參數配置、規則、腳本和模塊的複合升級結構，需要有更細粒度的、動態的測試。

CrowdStrike在創業前期可以憑藉清晰的軟件架構設計、高水平的編碼實現、設計巧妙的規則策略結構等，在一定規模的用户基數下，保證穩定性和可靠性；包括可以先突出威脅對抗能力，打出自己有效檢測和防護能力的口碑；但在目前千萬級裝機規模且覆蓋複雜場景的情況下，品控的複雜性，已經和創業成長期不可同日而語。出現問題的影響也急劇加大。CrowdStrike在此前作為納斯達克的“保送生”過於“順風順水”，在這種心態下容易萌生對自身體系結構運行設計的盲目自信，過度強調威脅對抗的敏捷性和威脅防禦效果，而在穩定性、可靠性等品控方面的投入，與其用户規模當量不相匹配。

從其規則只存續了1小時左右即造成全球超過850萬個節點崩潰的事實來看，其這次規則升級是作為一次輕量級的快速廣泛分發，較大可能是針對特定威脅的快速響應機制運行。可見其內部並沒有建立起能夠到達每一次能力敏捷升級的完整流程體系，在升級時沒有充分遵守灰度升級的相應原則。這些都是應當吸取的教訓。

7月19日，在德國漢堡，旅客在漢堡機場1號航站樓等待辦理登機手續

但與此同時，我們面對這一問題絕不可矯枉過正。目前國內終端系統主要的安全威脅仍是大量的端點系統長期處於低防護、弱防護的狀態中。在我們服務或處置的大量安全事件中，我們發現很多政企機構的內部網絡依然存在蠕蟲氾濫傳播、病毒批量感染、宏病毒長期存在的情況，總之是處在極低的安全運行水平。究其原因，或者是沒有安裝安全軟件；或者是在不能聯網的主機上安裝了互聯網的免費安全客户端，這類免費安全客户端高度依賴雲端查詢能力，純本地檢測能力較為弱；或者是選擇了一些號稱有殺毒能力的安全合規品，但其實際檢測能力非常低下；或者產品選擇沒有問題，但處在長期不及時升級的導致能力衰減。這些問題是我們當前更需要首先解決的。

應該説，大面積的安全產品的質量事故，是一個可以通過嚴格的流程體系進行有效控制的偶發性事件。但如果系統處於防護缺失的狀態中，在當前威脅攻擊活動和惡意代碼傳播極為頻繁的情況下，其被入侵就成為了一種必然性風險。另外，系統安全軟件造成的崩潰後果，基本上是可止損、可恢復的，雖然給用户帶來了運行價值的損失，但並不會導致用户資產的流失和外溢；但如果用户不改善防護，就將自己暴露在了攻擊風險中，而當前以定向勒索為代表的攻擊者採用的是“一魚多吃”的方式，一方面癱瘓用户的系統，另一方面將用户的數據、信息等資產在網上售賣傳播，還會通過威脅公開數據的方式，多重施壓勒索財產。其威脅後果，遠遠高於安全軟件帶來的偶發性風險代價。因此在這個問題上，絕對不能因噎廢食，應在保證產品穩定性、可靠性的前提下，不斷提升防護水平和對抗敏捷性，構建起堅固的安全防線。

安全能力和穩定可靠性是辯證統一的，歷史是辯證演進發展的，如果在重大災難事件中只基於片面、單一的視角去總結一方面經驗和改善，就一定會使事物走到自己的反面。

心智觀察所：對於目前國內市場碎片化格局和低水平內卷，您認為企業可以採取哪些應對戰略？

**肖新光：**網絡安全整體的市場運行有其歷史慣性。較為成熟的網絡安全市場演進通常要走過合規導向、威脅導向和能力導向三個階段——第一階段解決有無問題，第二階段解決能力提升和彈性升級問題，第三階段解決體系運行問題。我們現在的情況是：需求體系已經初步有了能力引導，但供給體系仍處於第一階段，總體上表現為以合規品為主導的關係型市場。

網絡安全面臨的困難挑戰，並不完全在於網絡安全自身，有很多淵源是源自信息化的。例如：我們在信息化發展建設中，長期處於“重硬件、輕軟件”的狀況中，導致軟件沒有議價權，形成了一味堆砌盒子而不提升實質安全防護水平和對抗能力的錯誤導向。在以防火牆和安全網關為安全賽道主品的時代，這一問題並未凸顯，但在安全基石重回系統側時，這一問題便高度顯性化了。

網絡安全的碎片化，一定程度上是由信息化的碎片化導致的。由於我們很大比例的信息化場景是碎片化、小生產所產生的，大量低成本、低水平的信息系統成為了極難設防的“沼澤地”。與此同時，在基礎信息產品信創的發展初期，需要有一個自由發展和競爭的階段，這個階段的信創體系存在多種計算機架構、CPU和操作系統的組合，給網絡安全產品帶來了適配困擾，特別是使主機安全防護的場景變得高度複雜。這些問題會隨着信創的集約化逐步改善。

網絡安全領域的特點決定了，系統、剛性、深度的需求無法依靠供給側主體推動，我國網絡安全產業需要一場由需求側變革驅動的結構性供給側變革

受全球經濟大勢、美國綜合打壓等因素影響，當前我國網絡安全產業也進入到了一個艱難調整的階段，當前中國網絡安全企業更關鍵的任務是活下去，然後才能強起來。但也許這正是危機中的轉機所在。當橫向灌木生長，通過擴品拉開戰線已經不能獲得更多有效收益，業內就會反省樣樣通，必然樣樣松，專下去，才能強起來。當看到低價中標、惡性競爭只會加速成本耗散，贏家通吃只是不且實際的幻想，覺醒的產業主體就會重新校準自己的定位，重新認識彼此的競合關係。

中國網絡安全產業想要實現逆週期發展，就需要回歸安全價值的有效性；重新校準和再認知系統安全防護、惡意代碼檢測等基礎能力的價值；深入理解先進計算架構的趨勢和安全需求；紮實準備大模型等新技術中孕育的安全危機和技術變革。通過深耕細作和產業協同，實現集體崛起。洞察危機，解析自己，自我革新，走向未來。

本文系觀察者網獨家稿件，文章內容純屬作者個人觀點，不代表平台觀點，未經授權，不得轉載，否則將追究法律責任。關注觀察者網微信guanchacn，每日閲讀趣味文章。