“藍屏事件”突然爆發(fā)后，引起全球震動，更深刻的警醒和反思仍在持續(xù)之中。心智觀察所就此次大規(guī)模藍屏事件背后的發(fā)生機制，國產(chǎn)操作系統(tǒng)自主可控等一系列問題，和安天董事長、首席技術架構師肖新光先生進行了深入交流和對話。

心智觀察所：CrowdStrike是一家什么樣背景的企業(yè)，是怎么實現(xiàn)快速崛起，在全球擁有龐大裝機規(guī)模的？

肖新光：CrowdStrike是一家以云和終端計算環(huán)境為主要防護目標場景、以威脅檢測對抗為基礎能力、以主機系統(tǒng)側安全為產(chǎn)品形態(tài)、以安全托管服務為先進運行模式的企業(yè)。綜合來看，CrowdStrike的崛起是自身進取、IT發(fā)展趨勢、資本布局和美國政府旋轉門運作的綜合結果：

當?shù)貢r間7月19日，由于CrowdStrike更新故障，Windows電腦顯示屏出現(xiàn)藍屏。

1）CrowdStrike在技術結構設計、運行理念和技術能力上的先進性是根本內(nèi)因。CrowdStrike的創(chuàng)業(yè)者曾在Big AV（注：即超級殺毒軟件企業(yè)，是業(yè)內(nèi)對卡巴斯基、賽門鐵克、邁克菲這批老牌殺毒企業(yè)的統(tǒng)稱）反病毒體系中經(jīng)歷了多年的浸潤和搏殺，深度理解主機系統(tǒng)安全的運行機制和威脅對抗的基礎邏輯，同時又精確把握了先進計算架構的安全需求，把握了安全基石回歸主機系統(tǒng)和工作負載的機遇窗口，前瞻性地選擇了以安全托管訂閱為核心運行模式的企業(yè)運行方式。其安全能力側聚焦主機場景，構建了下一代殺毒、智能主防和檢測響應、外設管控、主機防火墻四大關鍵能力，并依托情報和惡意代碼分析能力作為服務延展，強化綜合安全運營能力，技術規(guī)劃和演進路徑非常清晰，在威脅對抗中響應敏捷。這些都成為其崛起的內(nèi)因；

2）先進計算環(huán)境的安全需求和系統(tǒng)側安全的回歸為CrowdStrike的崛起提供了歷史機遇。在過去20年間，計算結構發(fā)生的一個重大變化是資產(chǎn)體系由原有的IDC服務器-終端體系進入了以云計算為主導的先進計算結構，虛擬化、容器等新的工作負載承載形式不斷迭代。應對新興計算場景的安全需求，沒有Big AV時代的系統(tǒng)側安全底蘊則難以承載，但簡單地套用傳統(tǒng)殺毒軟件的模式并不足以應對需求。與此同時，在資產(chǎn)云化、泛在接入、通訊協(xié)議普遍加密的背景下，以防火墻等網(wǎng)關設備為代表的安全邊界的價值全面衰減，安全的基礎基石重回主機和工作負載一側，安全預算的結構也發(fā)生變化；加之美國整個的IT基礎場景相對集約化，提供了相對統(tǒng)一、集約的運行環(huán)境和場景，使CrowdStrike可以將研發(fā)資源聚焦在先進產(chǎn)品架構、威脅感知捕獲、威脅檢測獵殺和運行模式等價值主閉環(huán)上，加之硅谷本身包容創(chuàng)新的基本環(huán)境，這是其崛起的客觀條件；

3）CrowdStrike的崛起離不開美國產(chǎn)業(yè)和金融資本的全力助推。在美國網(wǎng)絡空間安全的產(chǎn)業(yè)體系演進過程中，在個人計算革命的周期中，誕生了賽門鐵克、邁克菲、趨勢等為代表的面向端點的老牌殺毒企業(yè)；在信息高速公路建設的周期中，興起了Netscreen、Fortinet、Palo Alto Networks等網(wǎng)關側的創(chuàng)業(yè)明星，系統(tǒng)側和網(wǎng)關側，形成了安全基礎能力的兩大陣營。在計算結構發(fā)生變化、威脅形勢快速演進的背景下，老牌殺毒企業(yè)開始表現(xiàn)出技術架構落后、威脅響應的敏感性和銳度下降的問題，而網(wǎng)關側企業(yè)又很難在短時間內(nèi)快速彌補系統(tǒng)側安全基因的缺失，無論是大場景需求，還是產(chǎn)業(yè)能力完善、資本概念的需求，都迫切需要打造出一個具有新銳性的系統(tǒng)側安全明星企業(yè)，在此過程中Bit9、Cylance、Carbon Black也一度被資本追捧，但最終是由CrowdStrike奪得頭籌。這一結果離不開強有力的資本持續(xù)助力。作為CrowdStrike主要投資者的華平資本時任董事長曾擔任美國財政部部長，也是著名的反華政客。

產(chǎn)業(yè)和金融資本一直是美國全球產(chǎn)業(yè)競爭的超級后援團。例如在上世紀反病毒產(chǎn)品的最初競爭格局中，美國企業(yè)產(chǎn)品能力并不在最高水平，歐洲軍團才是產(chǎn)品能力（特別是檢測能力）的翹楚。在這個過程中，美國通過壟斷資本的利益逐漸化解了歐洲的安全產(chǎn)品體系，如：在資本操盤下，由邁克菲收購了當時歐洲最大的反病毒企業(yè)Dr Soloman。后來英國代表性的安全企業(yè)Sophos也被美國產(chǎn)業(yè)資本并購。

4）CrowdStrike的崛起亦有美國政商旋轉門的背景，與美國全球霸權布局高度相關。CrowdStrike有鮮明的旋轉門企業(yè)特點，其創(chuàng)業(yè)團隊成員和多位高管都有美國情報機構任職履歷，在其發(fā)展中，通過多次炮制抹黑中國的技術報告，為美國軍方和情報機構交上了“投名狀”，而美國政府也“投桃報李”，將CrowdStrike列為其在“向前防御”戰(zhàn)略和對外產(chǎn)品輸出的一個重點層次，幫助其在國際市場快速崛起。

5）CrowdStrike沒有出現(xiàn)有力的國際挑戰(zhàn)競爭者，也與美政府直接打壓國際競爭者相關。在商業(yè)競爭中，美政府相關部門反復下場打壓其主要國際競爭者已經(jīng)屢見不鮮。特別是對中俄廠商的干擾打壓尤為突出。

美情報機構NSA 從2010年制定的“拱形計劃”（CamberDaDa），陸續(xù)圈定了重點關注的全球23家可能發(fā)現(xiàn)和影響其情報活動的網(wǎng)絡安全企業(yè)，其中約70%的企業(yè)在歐洲（17家），26%的企業(yè)在亞洲（6家），但沒有任何一家美國及“五眼聯(lián)盟”國家的網(wǎng)絡安全企業(yè)上榜。

這個計劃最重要針對目標就是俄羅斯著名安全廠商卡巴斯基?？ò退够鶜v史悠久，技術長期領先，國際業(yè)務規(guī)模較大，品牌知名度很高。2017年，美國國土安全部就以國家安全為由，發(fā)布指令要求“從所有聯(lián)邦信息系統(tǒng)中刪除和停止使用卡巴斯基產(chǎn)品”；今年6月20日，美國商務部工業(yè)和安全局(BIS)宣布全面禁止卡巴斯基實驗室及其所有附屬公司、子公司和母公司在美國提供任何產(chǎn)品或服務，該禁令已于7月20日起正式生效。

我所工作的安天也對這種打壓干擾有深刻的體會。安天是上榜CamberDaDa計劃中的唯一中國廠商，受此影響，我們在2013年之后只能逐步停止了對美國安全企業(yè)的引擎授權業(yè)務。另外，因長期分析美方情報機構的攻擊活動，2022年我司被美國國會有關“中國網(wǎng)絡安全能力”聽證會報告點名，致使我們進一步失去了相關亞洲國家市場。

心智觀察所：據(jù)分析，發(fā)生藍屏的主要功能模塊CSAgent.sys帶有CrowdStrike和微軟的雙重數(shù)字簽名。微軟第一時間撇清關系，包括網(wǎng)絡安全和基礎設施安全局主管也站出來給微軟站臺。怎么理解CrowdStrike和微軟在這次事件中各自應該承擔的責任？

肖新光：安天在《CrowdStrike導致大規(guī)模系統(tǒng)崩潰事件的技術分析》這篇報告中對本次藍屏事件進行了詳細分析，問題發(fā)生的機理是：CrowdStrike主防的核心驅動CSAgent.sys的模塊在讀取、解析相關的配置策略文件時發(fā)生異常，進而導致Windows系統(tǒng)藍屏崩潰且重啟后繼續(xù)藍屏的嚴重后果。這與CrowdStrike公布的原因是一致的。CSAgent.sys之所以帶有CrowdStrike和微軟文件雙簽，主要來自微軟對Windows的強制性內(nèi)核模塊和驅動的簽名需求。通常來看，軟件應用都可以去各個機構申請軟件證書，以形成可信認證鏈，驗證軟件模塊與發(fā)布側的一致性，對抗攻擊者對產(chǎn)品的篡改。但如果出現(xiàn)大量的攻擊者申請證書或入侵軟件開發(fā)者系統(tǒng)，竊取簽名證書，簽發(fā)惡意代碼的情況，這些惡意程序可以作為有簽名的驅動和內(nèi)核模塊來加載。針對此，微軟形成了一套自身的證書簽發(fā)管理機制。強制要求驅動和內(nèi)核模塊同時需要微軟的簽名才能在引導鏈上加載。這可以視為一個“雙保險”機制。

但這個機制核心解決的還是確保引導鏈加載的均為可信對象，但并不能解決簽名驅動本身的穩(wěn)定性、可靠性和安全性問題?？陀^來說，就本次事件而言，微軟的責任較小，主要責任應當由CrowdStrike承擔。

心智觀察所：如果模塊的穩(wěn)定性對系統(tǒng)內(nèi)核會有直接影響，Windows將有關權限外放給網(wǎng)絡安全產(chǎn)品是否明智？相較于Mac OS等競品，Windows引發(fā)藍屏保護的情況較為頻繁，一直被用戶詬病，怎么理解這種情況？

肖新光：微軟和蘋果在運營模式上有巨大差異。微軟崛起，源于上世紀80年代由IBM確定了IBM -PC的體系結構，形成了由英特爾提供X86架構的CPU、微軟提供操作系統(tǒng)、IBM輸出PC主機標準的這樣一套框架，使個人計算革命走入了大生態(tài)支撐的加速運動。這一背景決定了從MS-DOS到Windows系統(tǒng)采取的運行方式是廣泛兼容各種硬外設件、支撐開放式軟件生態(tài)。驅動底層接口不僅僅是為安全廠商開放，而是要支持大量板卡、外設硬件，因此必須開放相關的驅動標準。

而Mac OS的硬件選型是在一個相對封閉的供應鏈體系結構內(nèi)進行的，其CPU、板卡、顯卡、包括屏幕外設等都是基于嚴格的自我供給或致密合作的供應鏈體系，其硬件擴展整體上是在外設層面，而不是板卡層面，其軟件應用也是基于單一的軟件市場Apple Store來進行閉環(huán)運營的。蘋果系統(tǒng)本身要承載的硬件兼容性和軟件穩(wěn)定性壓力都相對較小。Apple Store是蘋果系統(tǒng)獲取應用的主要來源渠道，因此形成了較強的源管控，這一機制降低了蘋果用戶下載和運行惡意代碼的概率（當然，在歷史上Apple Store被穿透的事件也屢見不鮮）。