由于 Windows的“初始設定”就是允許用戶開放式地下載、安裝、使用各類應用，這既增加了被攻擊的風險，也使其無法對軟件生態(tài)進行收斂的品控。因此微軟需要的是更強有力的安全生態(tài)，而不能拋棄其本身的開放式和硬件兼容的傳統(tǒng)優(yōu)勢，來片面地學習蘋果的運營經(jīng)驗。微軟也有部分的閉合運營生態(tài)，但Surface平板并不是Windows用戶的主品選擇；微軟推出了自己的應用商店Windows Store，但用戶的主流習慣依然是從網(wǎng)絡下載。本次事件也并不能根本改變微軟的運行模式。

要站在這些大的背景下，看待Windows系統(tǒng)和Mac OS的穩(wěn)定性差異。與此同時，這也給我們信創(chuàng)信息系統(tǒng)如何走好供應鏈和軟件生態(tài)，提供了兩種差異化參考樣板。

心智觀察所：CrowdStrike包括更早的Palantir等企業(yè)，慣于通過炒作中俄威脅博取流量，拉升估值，也深度融入美國情報界，根據(jù)您的觀察，這些企業(yè)除了防御之外，是否也是美國賽博戰(zhàn)各類APT的幕后供應商？

肖新光：目前沒有證據(jù)可以作這樣的判斷。從美國網(wǎng)絡安全產(chǎn)業(yè)機構來看，其有對應的分工模式。為美國情報機構供給攻擊能力、甚至直接下場作業(yè)的廠商，多為情報承包商或軍工承包商，而像CrowdStrike這樣的資本寵兒，其能力輸出主要還是在防御側(cè)。雖然CrowdStrike在支撐美國網(wǎng)空霸權的過程中，頻繁地交納抹黑他國的網(wǎng)絡安全問題的報告，作為“投名狀”，但從利益立場來講，其背后的資本還是需要強化其作為國際化產(chǎn)品企設，對資本利益來說，需要這些產(chǎn)品來構建面向全球用戶的信任。從美國情報機構來看，其產(chǎn)品的廣泛分布，本身就構成了廣泛的感知價值，讓這些企業(yè)參與攻擊作業(yè)或能力供給，是得不償失的。

庫爾茨于宕機風波后首度接受采訪NBC“今日秀”截圖

但與此同時，我們必須警惕，由于美國情報機構與規(guī)模型IT廠商聯(lián)動的運行模式由來已久，“棱鏡”系統(tǒng)的曝光就是鐵證，而CrowdStrike采用廣泛的托管運行模式，可以說是基于深度采集用戶信息、匯聚到自身服務器上，來達到運行效果，這些數(shù)據(jù)很有可能在美國情報機構窺視的范圍之內(nèi)。同時，在美軍推動“向前防御”的戰(zhàn)略過程中，相關的安全產(chǎn)品本身也具有了軍事裝備的屬性，其所進行的安全托管，雖以“加強盟友防御并提高共享網(wǎng)絡免受網(wǎng)絡威脅的彈性”為說辭，但實際上采取云化、托管等運行模式，實際讓美方掌握了“盟友信息系統(tǒng)”的操作及防御能力，獲得了關鍵信息系統(tǒng)的掌控權。

同時，其感知能力對0day漏洞利用的發(fā)現(xiàn)，其研究能力對新的漏洞挖掘，有可能會進入到美國情報機構的NOBUS（nobody but us, 沒有人能利用漏洞除了美國自己）的體系中，成為美國情報機構作業(yè)，或者賦能給其盟友的資源。

此外，部分美國安全企業(yè)為美國政府、軍方客戶提供專屬性的能力輸出或者運營加強，例如美國反病毒企業(yè)邁克菲就專門為美國政府提供Government Signature（政府客戶專屬檢測規(guī)則），從而使美政府或軍方擁有比民品更強的差異化防護能力。

心智觀察所：CrowdStrike是美國主要的云、終端安全廠商之一，是云原生網(wǎng)絡安全的主要推手之一。這個事情讓我們認識到主機系統(tǒng)側(cè)安全能力建設的重要性。在公有云虛擬機時代，我國目前的在網(wǎng)絡安全的自主化可控程度如何？國內(nèi)政企機構目前Windows主機用戶的比重大概是多少？目前哪些安全產(chǎn)品在國內(nèi)政企機構中占據(jù)主流？這次事件對中國網(wǎng)絡安全自主可控的進程會產(chǎn)生怎樣的影響？

肖新光：本事件充分說明了：網(wǎng)絡安全產(chǎn)品和技術的自立自強具有重大意義，它的重要性不亞于（甚至在某些場景下超過了）基礎信息產(chǎn)品和技術的自主性的重要性?；A信息產(chǎn)品的自立自強價值在于，不僅能在脫鉤、斷供、“卡脖子”的情況下，依然能繼續(xù)支撐數(shù)字化轉(zhuǎn)型發(fā)展，在我們產(chǎn)品具有特點和先進性的時候更可以進入國際市場競爭。而網(wǎng)絡安全的自立自強價值在于無論我們運行著何種信息系統(tǒng)，我們都擁有自己的安全屏障。盡管我們在不同安全產(chǎn)品的技術能力上存在著參差不齊的情況，但我們整體的產(chǎn)品能力譜系是完整的，沒有基礎缺門，能夠滿足安全的基礎要求，這是我們實現(xiàn)數(shù)字化轉(zhuǎn)型發(fā)展的重要保障基礎。我們更能以自主安全能力為第三世界國家和友好國家提供安全保障。

長期以來，國內(nèi)在網(wǎng)絡安全產(chǎn)品的采購過程中，相對更愿意去堆砌盒子，加上互聯(lián)網(wǎng)免費安全模式帶來的影響，使得以軟件為形態(tài)的、主機終端側(cè)的安全產(chǎn)品長期未受到應有的重視。但隨著資產(chǎn)云化、泛在接入和加密流量的普遍使用，傳統(tǒng)邊界衰減失效已經(jīng)成為必然，系統(tǒng)側(cè)安全基石作用的回歸效應越來越明顯。本次事件更讓我們意識到，主機系統(tǒng)安全能力的重要性，CrowdStrike所展示的惡意代碼（病毒）檢測防護、內(nèi)核級主動防御、分布式主機防火墻和威脅阻斷、外設和硬件管控等模塊化能力，也成為了我們很好的能力對標物。我們需要打造與之比肩、甚至超越的系統(tǒng)安全能力。這次事件進一步地讓我們看到安全產(chǎn)品的本質(zhì)是軟件，而非載體設備。安全軟件的靈魂是能力迭代，而不是軟件功能。安全產(chǎn)品的自身可控，本質(zhì)上是安全基礎能力、模塊、算法的自主性，而不是簡單的載體的自主性。聚焦于防御有效性、保持威脅對抗的敏捷迭代，與此同時，做好安全產(chǎn)品本身的安全性、穩(wěn)定性及可靠性。

從國內(nèi)需求場景來看，Windows系統(tǒng)雖然在國內(nèi)政企機構中的使用占比在不斷下降，但在一般的企業(yè)和個人用戶中仍然是絕對主流。與此同時，國內(nèi)終端信創(chuàng)主機占比不斷提升。公有云已經(jīng)成為較為成熟的產(chǎn)業(yè)，而私有云、混合云也處在新的建設熱潮中。國內(nèi)系統(tǒng)側(cè)需求場景復雜，防御戰(zhàn)線較長。供給側(cè)則處在百花齊放的狀態(tài)中，有多家廠商都有一定的自身特色，但還未產(chǎn)生領域的終局贏家。

心智觀察所：在您看來數(shù)據(jù)驅(qū)動的AI大模型技術會對網(wǎng)絡安全領域乃至云計算技術棧帶來怎樣影響，公司在這方面是否已有實踐？

肖新光：以AI大模型為代表的智能技術，對網(wǎng)絡安全帶來了三個需要關注的問題：一是大模型技術本身的安全性問題，二是大模型基礎設施成為新的攻擊目標和場景，三是大模型對網(wǎng)絡攻擊的賦能和加速問題。根據(jù)這幾年的觀察，我感覺國內(nèi)的一定程度上過度關注AI大模型本身的安全問題，但對于后兩者的關注、研究和投入是不夠的。

其實新技術帶來的最突出風險，往往都是其對現(xiàn)有風險的快速賦能與加速。大模型對網(wǎng)絡攻擊的助力作用極為明顯，可以在知情偵察、腳本增強、輔助開發(fā)、社工活動、漏洞研究、有效負載生成、異常檢測規(guī)避、安全功能繞過、資源開發(fā)等階段，提供全生命周期完整賦能，能夠?qū)魵湹膫刹熳粉櫋⑽淦鳂嫿?、載荷投遞、漏洞利用、安裝植入、持續(xù)控制、目標達成的全過程起到助力作用，導致攻擊自動化能力的快速提升、攻擊成本的快速下降，這一趨勢本身更值得重視。

同時，扼制新技術風險的關鍵，往往就在于技術本身。例如互聯(lián)網(wǎng)技術帶來了威脅的快速流動，但同時也帶來了安全能力的快速部署和敏捷響應；云計算帶來了針對其體系的攻擊從而導致整體崩潰的重大風險，但這種體系特點強化安全后，也能夠形成高度彈性的防御體系結(jié)構；大模型和AI能夠為攻擊賦能，當然也能為提升防御能力賦能。其不僅能改善檢測、識別等防御能力的效果，更能有效輔助海量執(zhí)行體（惡意代碼）分析、流量緩存分析多源日志（事件）分析、暴露（攻擊）面分析、用戶與實體分析，提升多源情報匯聚整合的效果，對全局策略（基線）編排、全局決策、響應編排、綜合風險分析收斂提供積極的價值。