【文/觀察者網(wǎng)專欄作者 潘攻愚】

“不要去盯著惡意軟件，而是要去識別惡的思維。壞人們正在利用他們的狡猾技巧滲透和攻擊地球上的每一家大公司，我們必須知彼之長，進(jìn)而實(shí)施打擊，最終戰(zhàn)勝他們。”

這是八年前Crowdstrike CEO和CTO共同接受某家西方主流媒體采訪時(shí)的名言。

上周五以來，這家全球知名的云計(jì)算端點(diǎn)網(wǎng)絡(luò)安全公司以一種奇異的方式，讓名字本身的字面涵義成為了現(xiàn)實(shí)：群體+罷工（Crowd+Strike）。霎時(shí)間，全球微軟Windows系統(tǒng)大面積藍(lán)屏死機(jī)（BSOD），致使航班停飛、火車晚點(diǎn)、銀行異常等，間接經(jīng)濟(jì)損失難以估量。

幾天來，社交媒體上圍繞此事的聲音主要分為三種，一種來自Crowdstrike、微軟和美國官方安全部門的道歉性解釋；一種來自歐美科商界名流如馬斯克的斥責(zé)和嘲諷；一種則是陰謀論的“小作文”，內(nèi)容無怪乎這是否是一場有關(guān)網(wǎng)絡(luò)安全戰(zhàn)爭的應(yīng)力測試？抑或是Crowdstrike家賊難防，是內(nèi)鬼的黑客式攻擊？

對其中任何一種聲音的認(rèn)同或駁斥，以及從技術(shù)層面對事件本身的解讀（比如終端安全軟件Falcon Sensor推送的錯誤配置更新與Windows兼容性問題），都離不開對本文開頭這一段話做一種溯源性的分析。Crowdstrike的“網(wǎng)絡(luò)安全神學(xué)”，就隱藏于此。

該“神學(xué)”產(chǎn)生了連他們都無法自視的三大悖論。

悖論一：“沒有壞程序，只有壞人”——誰是壞人？

一部短小精悍的人類互聯(lián)網(wǎng)軟件發(fā)展史，充滿了原始軟件開發(fā)者與分銷商的利益糾葛。微軟Windows過去幾十年來不斷開疆辟土，這一過程伴隨著的是將其廣袤領(lǐng)地的安全保衛(wèi)權(quán)分封給“諸侯”，即諸多端點(diǎn)和云工作負(fù)載承包商。

CrowdStrike背靠Windows生態(tài)大樹，接住了多租戶、云原生時(shí)代潑天的富貴，在網(wǎng)絡(luò)安防端點(diǎn)保護(hù)市場目前拿到了全球近乎四分之一的市場份額，依靠過去十多年處理大型國際網(wǎng)絡(luò)攻擊和懲治黑客的優(yōu)異記錄，成為一眾全球500強(qiáng)跨國大公司的內(nèi)網(wǎng)安保的不二人選，公司高管也在美國“旋轉(zhuǎn)門”體系下，不斷游走在政府情報(bào)系統(tǒng)和頭部網(wǎng)安商界之間。

不過，我們還是需要承認(rèn)CrowdStrike在殺毒軟件、威脅情報(bào)、端點(diǎn)檢測和響應(yīng)（EDR）等方面所作的顛覆性創(chuàng)新，這種創(chuàng)新性其實(shí)根植于深層訪問計(jì)算機(jī)的操作系統(tǒng)。這種主動的“端點(diǎn)檢測和響應(yīng)”機(jī)制相比傳統(tǒng)殺毒軟件被動識別防御體系要高明的多。

CrowdStrike首席執(zhí)行官George Kurtz從不諱言并且在公開場合大肆宣揚(yáng)自己的打法是多么的“高明”：我們的競爭對手只能識別壞程序，我們能識別“壞人”。換言之，最高級的殺毒軟件要從作惡者的“念頭”就要開始將其掐滅，如果作惡者已經(jīng)出現(xiàn)了作惡行為，你再去防御就已經(jīng)晚了，這無異于一種高級的安全機(jī)制左移（shift left）。

云原生技術(shù)的不斷成熟，讓CrowdStrike在云端部署的主動防衛(wèi)機(jī)制可以大顯身手。該技術(shù)架構(gòu)能夠讓大型公司的軟件系統(tǒng)盡可能地剝離云應(yīng)用中的非業(yè)務(wù)代碼，聚焦功能性業(yè)務(wù)，高效打造敏捷、智能云計(jì)算服務(wù)。

云原生網(wǎng)保市場，未來將有超過20%的年均復(fù)合增長率，前景看好

企業(yè)數(shù)據(jù)遷移上云，突破了本地化的規(guī)模問題，無服務(wù)器架構(gòu)可以做到化繁為簡，將能夠讓企業(yè)免去管理與維護(hù)服務(wù)器的過程，因此，系統(tǒng)安全能力隨之在在云主機(jī)、虛擬化、容器中延展。

Falcon平臺是CrowdStrike的核心拳頭產(chǎn)品，完全基于云端部署的SaaS模型，公司公開對外標(biāo)榜該產(chǎn)品能夠提供實(shí)時(shí)的攻擊指標(biāo)、威脅情報(bào)，在“矛”和“盾”的比拼中不斷加厚盾的防御力。

如果把一家企業(yè)的數(shù)據(jù)中心和網(wǎng)絡(luò)后臺比作一個(gè)莊園，CrowdStrike的Falcon平臺保護(hù)機(jī)制軟件在云端就可以掃描這個(gè)莊園的每一片墻皮、磚縫和下水道的暗溝，力求殺死可能讓蟑螂、臭蟲存在的土壤，并同時(shí)抵御潛在外部入侵者。

它的邏輯是，通過理解所服務(wù)的主人的一切，包括肌體內(nèi)一切毛細(xì)血管，來試圖猜測、判斷來自外部入侵者可能會選擇的突破點(diǎn)，從而監(jiān)測到壞人的“非法念頭”，做好提前預(yù)警。

越是更好地理解你服務(wù)的主人，你就越能判斷主人潛在的敵人是誰，如果你不能識別潛在的敵人，那只能說明你對服務(wù)的主人不了解。

這就是Crowdstrike在云計(jì)算時(shí)代的生存邏輯。問題是，他們太了解其服務(wù)的主人——微軟Windows了，以至于把自己變成了主人的敵人。

國內(nèi)頭部網(wǎng)絡(luò)安全技術(shù)服務(wù)公司安天集團(tuán)在分析此次BSOD事件時(shí)，一陣見血地指出，該公司的終端安全軟件Falcon Sensor推送的錯誤的配置更新與Windows系統(tǒng)發(fā)生了兼容性問題，證明了安全產(chǎn)品的安全功能和安全產(chǎn)品本身的安全的并不等價(jià)。

因此Crowdstrike這次無法實(shí)在無法甩鍋到外部，辯解這是一場無意之失的bug引發(fā)了災(zāi)難性后果，而不是黑客攻擊。這個(gè)結(jié)論無異于承認(rèn)了自己就是那個(gè)“壞人”。

悖論二：用AI加持算法，卻無法用AI解決問題

如前所述，Crowdstrike近幾年乘上了發(fā)展的快車，時(shí)代的進(jìn)程除了云原生之外，還有AI大潮。Crowdstrike可是去年納斯達(dá)克十大“AI牛股”之一。

在“AI+網(wǎng)絡(luò)安全”成為資本市場青睞的寵兒之大背景下，Crowdstrike敏銳嗅到了商機(jī)，他們搞了一個(gè)虛擬AI分析師，幫助平臺用戶快速創(chuàng)建工作流程。用戶可以向該虛擬分析師提問，可以了解實(shí)時(shí)網(wǎng)絡(luò)安全漏洞或其他安全問題。

而且該公司還優(yōu)化了算法，通過使用ChatGPT等AI工具來幫助重用和調(diào)整源代碼，其Falcon平臺利用大規(guī)模的相似性搜索來提高效率，利用基于AI深度學(xué)習(xí)的特征描述符來促進(jìn)對數(shù)十萬惡意腳本的近乎即時(shí)搜索。

Crowdstrike研發(fā)的AI防病毒分析師Charlotte小姐，很遺憾，她在出事之后啥也干不了

通過比較傳入文件與已知惡意軟件的相似性來進(jìn)行檢測的理念并不新鮮、不過，這一次我們需要恭喜CrowdStrike，他們多了一個(gè)研究樣本，就是他們自己開發(fā)的“惡意軟件”。

其產(chǎn)生的悖論在于，通過AI加速用戶快速創(chuàng)建工作流程，提高檢測效率，但出了問題時(shí)，AI算法卻失靈了，CrowdStrike的修復(fù)程序需要一臺電腦接一臺電腦手動修復(fù)。不少網(wǎng)絡(luò)安全專家說，受影響組織的恢復(fù)可能需要數(shù)周或更長時(shí)間，耗時(shí)耗力。

悖論三：反華與自主可控的回旋鏢

即便是最推崇CrowdStrike安防水平的擁躉，也無法否認(rèn)CrowdStrike并不是一家完全做到“在商言商”的科技公司。不用過多起底這家公司的成長史，僅舉一例即可知全貌。公司最高領(lǐng)導(dǎo)人之一曾是FBI官員Shawn Henry，他帶領(lǐng)公司有過多次解決對俄羅斯、朝鮮、伊朗等國黑客攻擊的經(jīng)歷。

如果我們再次追溯人類軟件發(fā)展史，就會發(fā)現(xiàn)二戰(zhàn)后的美國，工業(yè)、商用操作系統(tǒng)的最大買家長期是美國國防部和國家航空航天局等官家，ToG而非ToB曾是網(wǎng)絡(luò)安防的重點(diǎn)布局對象。

基于此，我們才能理解美國“網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局”（CISA）主管Jen Easterly在Linkedin上評論此次災(zāi)難性事件時(shí)，不斷強(qiáng)調(diào)公眾要克制情緒，不要對CrowdStrike“扔屎球”，更要看在之前CrowdStrike搞過對華出色的情報(bào)戰(zhàn)和信息戰(zhàn)的份上，盡可能原諒這種“小失誤”。

美國“網(wǎng)安局”主管居然在Linkedin上發(fā)長文，認(rèn)為此事不能排除是中國黑客所為

更加奇異的是，此次BSOD大災(zāi)難出現(xiàn)之后，歐美主流媒體紛紛追問為何中國反而成為了此次事件的免災(zāi)高地，得出的結(jié)論是CrowdStrike在華市場份額可以小到忽略不計(jì)，“保護(hù)”了中國的網(wǎng)絡(luò)安全。在強(qiáng)調(diào)網(wǎng)絡(luò)安全，技術(shù)主權(quán)自主可控的敘事模式下，CrowdStrike對華技術(shù)隔離反而助華免疫，這是對CrowdStrike多年來所秉承的政商一體發(fā)展邏輯的巨大諷刺。