文 | 安天战略情报中心

2024 年 7 月 19 日,美国网络安全公司“众击”(CrowdStrike)更新了终端安全软件的内容配置,导致全球近千万台 Windows 系统出现蓝屏死机现象,20 多个国家的交通、金融、医疗、零售等行业受到严重影响。尽管我国也有大量 Windows 用户,但在此事件中几乎未受影响,这突显了我国网络安全产品自立自强发挥的重要作用。该事件对我国数字化转型和网络安全能力建设具有正反两面的借鉴意义,值得我们深入思考。

一、事件分析

“众击”公司的一次终端安全产品常规更新操作,引发了全球 20 多个国家的交通、金融、医疗等基础设施网络大面积瘫痪。究其深层原因,是市场寡头垄断的恶果,同时,事后处置迟缓及不周全,多种效应叠加导致了损失的放大。

(一)网络安全事故导致“雪崩”效应

“微软蓝屏”事件源于“众击”公司对终端安全软件“Falcon Sensor”进行的内容配置更新。“众击”公司官方报告称,此次内容配置更新存在一个漏洞,该漏洞允许将“有问题的内容数据”部署到客户电脑上而导致异常,进而引发了 Windows 操作系统崩溃。

事件造成全球约 850 万台安装 Windows 操作系统的计算机器宕机,引发美、英、德、澳、加、日等 20 多个国家和地区的组织机构遭遇业务系统服务中断,严重影响了全球多地的航空运输、医疗、银行与金融服务、电信、媒体、零售、餐饮等行业及公共服务。据供应链风险管理公司英特罗斯(Interos)估计,超过 67 万家企业受到直接影响,其中逾 40% 位于美国,近 30% 位于欧洲。全球四分之一的财富 500 强企业受到影响,美国保险公司 Parametrix 在 7 月 24 日评估称,财富 500 强企业(不包括微软)的损失高达 54 亿美元,其中银行业损失超过 10 亿美元,医疗保健行业损失近 20 亿美元。

这是近年来罕见的由网络安全问题引发的全球性重大公共安全事件,不仅揭示了数字世界的脆弱性,也突显了网络安全的重要性。

(二)市场寡头垄断是深层原因

本次事件发生的背景是“基础信息产品+网络安全”的市场垄断叠加。

Windows 操作系统和微软的广泛分布,使得微软在全球用户,特别是政企场景中已经具备了基本的垄断地位,根据爱尔兰网络流量分析网站 StatCounter 的统计,截至 2024 年 7 月,微软 Windows 操作系统占全球桌面操作系统市场份额的 72.08%。而“众击”公司作为美国网络安全领域的头部企业,主要以云和终端计算环境为防护目标,基于威胁检测对抗为基础能力,以主机系统侧安全为产品形态,提供安全托管服务。2024 年 6 月,该公司的市值一度接近千亿美元,是全球市值最高的网络安全上市公司之一。国际数据公司(IDC)2023 年统计数据显示,在“端点检测和响应”软件市场上,“众击”公司的全球份额约占 17.7%,连续 3 年排名第一,其产品被全球微软 Windows 操作系统用户广泛使用。同时,“众击”公司还与微软云、亚马逊云、谷歌云等建立了深度合作关系,许多云服务客户广泛选择使用“众击”公司的安全服务。微软与“众击”的市场垄断叠加效应放大了网络安全风险,导致此次事件造成严重危害。

分析认为,“众击”公司的崛起不仅得益于其技术的先进性和对计算架构及资产体系演进过程中安全需求转变的把握,还得益于美国政府的资本支持和政策推动,体现了旋转门机制的运作成果。“众击”公司与美国政府关系紧密,现为美国联邦政府、国防部等多个机构的主要安全供应商之一,是美国国土安全部网络安全和基础设施安全局(CISA)组织的联合网络防御合作计划(JCDC)的首批成员,也是美国国防部受控非机密信息(CUI)最高授权级别 IL5 供应商,负责保障美国政府和军方最关键的非机密资产。正是在美国政府的大力扶植下,“众击”公司才能拥有了目前的市场领导地位。

(三)处置迟缓、态度傲慢、多种效应叠加导致损失放大

事件发生后,“众击”公司迅速采取了响应措施,在 78 分钟后即从升级服务器中撤下了相关更新,并开始部署回滚操作。然而,整体的应急处置节奏并不理想,举措滞缓不够周全。公司首席执行官将此次责任归咎于“意外/失误”而不承认存在“错误/缺陷”。

在技术缓解措施方面,“众击”公司官方发布的恢复措施相关信息需要用户登录认证后才能查看,这忽视了受影响的用户主机已经蓝屏宕机,根本不具备登录“众击”公司网站查看信息的条件。官方公告中仅提供了一种解决方案,即在安全模式下进入对应目录删除特定文件的手工操作方式,却始终没有提供一个快速处置工具,导致网管和用户被迫以极其低效的手工方式操作恢复有问题的主机。

在此次事件中,一大困难是云租户用户无法进入安全模式进行故障处置,只能采取镜像处置等措施。更严重的问题是,大量用户启用了TPM+BitLocker 的全磁盘加密(包括系统卷),这就意味着在进行故障处理时,需要输入 BitLocker恢复密钥,但相当一部分用户可能并没有留存或有效管理恢复密钥。这就暴露了保密性和安全性之间的微妙冲突和叠加问题。尽管 BitLocker 建议用户准备好恢复密钥,但长时间未提供其他辅助方法。最终,由微软提出了一个“可能需要 15 次重启”的解决方案。正是在这种怠惰的应急处置下,事件发生 10 天后,全球仍有 3%(大约 25 万台)的受影响系统设备未能恢复,只能重置或替换。

事件充分反映出,安全产品在防御体系中处于关键位置,为了对抗威胁需要高频度的升级,而这些升级通常都在后台自动化运行,更易成为自身测试的盲点和客户侧场景下的“黑箱”。同时,由于安全产品具备安全功能属性,更容易获得用户的信任感,但产品的安全功能并不等同于产品本身的安全性。如果安全厂商忽视了产品自身的安全性,那么功能越多可能带来的不安全性就越大。一旦安全软件的供应链体系遭受攻击,就可能导致更大范围的系统崩溃和瘫痪风险。

二、几点启示

“众击”公司的标志是一只红色的猎鹰,象征着其高飞锐利的企业理想。然而,此次“猎鹰折羽”事件的整体过程及其前因后果为我们提供了诸多启示。

(一)事件凸显了我国网络安全产业和技术自立自强的关键意义

此次我国能够“置身事外”的一个重要原因是,虽然国内有众多 Windows 用户,但大多数用户选择使用的是国产安全软件。网络安全产品和技术的自立自强具有重大意义,其重要性不亚于(甚至在某些场景下超过了)基础信息产品和技术自主性的价值。基础信息产品的自立自强价值在于,即使在脱钩、断供、“卡脖子”的情况下,我们依然能够支撑数字化转型的发展。当我们的产品具备特色和先进性时,才能进入国际市场参与竞争。而网络安全的自立自强价值在于,无论运行何种信息系统,我们都能拥有自己的安全屏障。在网信领域,西方长期采取高端限制、中端垄断、低端冲击的策略,试图遏制中国产业的发展。然而,在网络安全领域,中国长期坚持独立自主的原则,这不仅使我国的产业在西方市场的冲击下保持了竞争力,确保了在西方断供时依然有保障,而且随着我国产业的逐步壮大成熟,还能在国际市场上展开竞争。

(二)要实现安全能力自主,降低对“旋转门”企业的安全依赖

“众击”公司具有鲜明的旋转门特征,其团队成员和多位高管都曾服务于美国情报机构。该公司曾多次炮制抹黑中国的技术报告,为美国军方和情报机构递交“投名状”,而美政府也“投桃报李”,将“众击”公司列为其在“向前防御”战略的一部分。在国际商业竞争中,美政府相关部门反复下场打压该公司主要的国际竞争者,为其在国际市场快速崛起“保驾护航”。

为美国情报机构提供支持或直接参与操作的厂商,通常是情报承包商或军工承包商。而像“众击”公司这样的“资本宠儿”,其核心能力仍然集中在防御方面。“众击”公司采用广泛的托管运行模式,深度收集用户信息并汇聚到自身服务器上。考虑到美方情报机构与 IT 企业之间的协作机制,如“棱镜”项目,这些数据很可能被美情报机构获取。在美军推动的“向前防御”战略中,“众击”公司相关的安全产品具备了军事装备属性,通过产品的云化、托管等运行模式,美国实际上掌握了盟友信息系统的操作及防御能力,获得了一定的关键信息系统掌控权。

因此,世界各国尤其是发展中国家,在数字化转型和社会发展的过程中,应当减少对信息寡头和国际垄断企业的依赖,以保证自身的现代化进程能够自主可控。

(三)网络安全产品自身的稳定性和安全性需被高度关注

这次事件进一步引发了业内对于底层的安全机制和保障系统稳定性的关注,也让我们认识到安全产品的本质是软件,而非硬件设备。因此,要实现有效的防护,安全防护产品需要采用更多底层驱动和内核技术,以实现对攻击者的前置防御。那些不使用底层技术的安全防护产品可能更稳定,但也可能无法防御大多数的攻击。影响系统稳定性和安全性的主要因素包括主防机制、热补丁、特定的 Rootkit 或顽固感染病毒的查杀。其中,确保主机驱动的稳定性是主机防护最关键的质量指标。

对于安全厂商来说,在保证安全产品有效防御能力的同时,也要重视产品自身及其能力的持续升级。这包括完善升级过程中的灰度发布能力、提升品质控制管理,同时提高代码的安全水平和安全产品自身的安全性能。片面强调安全优先或稳定性优先都是不可取的。安全产品需要在快速响应机制和引入的安全性风险之间做出谨慎选择,这对每一个专注于能力建设的安全企业而言,都是一道充满挑战的选择题。对于安全软件而言,要考虑的不仅是稳定性与能力之间的平衡,更是在严格的品质控制约束下,如何有效地应对攻击活动和威胁的不断演化。

更值得注意的是,尽管基本可以排除“众击”公司事件是由供应链侧被入侵引发的,但这种风险的可能性依然存在。如果安全软件在使用场景或供应链体系中被入侵,后果将是灾难性的。因此,安全产品本身的安全性以及其代码安全工程水平,包括设计、开发、编译、发布、更新和运营的全生命周期安全水平,都必须得到切实的提升。

三、深度思考

此次事件给我们带来的启示绝非只有安全产品自身的稳定性问题,其反向彰显了主机系统安全基石的价值,警示我们必须构建对标国际先进厂商的主机系统侧防御能力。

随着资产云化、泛在接入和加密流量的广泛应用,传统边界防护的衰减和失效已经成为不可逆转的趋势,主机系统侧安全基石价值的回归效应越来越明显。安全对抗已从聚焦于网络检测和拦截“御敌于城门之外”,转变为必须全面应对主机系统侧的恶意代码、混合执行体攻击、漏洞组合利用以及社工钓鱼等更深层次的威胁。“众击”公司所展示的恶意代码(病毒)检测防护、内核级主动防御、分布式主机防火墙和威胁阻断、外设和硬件管控等模块化能力,都是很好的能力对标物。我们需要构建与之相匹敌甚至更为超越的系统安全能力,在聚焦于防御有效性的同时,保持威胁对抗的敏捷迭代,并确保安全产品本身的安全性、稳定性和可靠性。

尽管此次事件源于内核级别的主机防护,但我们绝不能因噎废食。唯有赋予安全产品系统内核级的对抗能力,才能确保其安全防御性能。安全能力与稳定可靠性是辩证统一的,如果在灾难事件中只基于片面、单一的视角去吸取教训改进,那么很可能会适得其反。

这一次灾难能“置身事外”并非说明我们通过了“大考”,只能说真正需要我们应对的风险还潜伏在不远的未来。从整个数字化运行来看,本次事件实际上是西方寡头资本现代化模式运行下的数字世界“过现代化”事故。而在我国,尽管在数字化转型中已经形成了一部分高度现代化的样板,但在广大政企领域,仍然处在未充分完成的数字时代现代化和工业化阶段。因此,当务之急是必须打造中国式数字时代现代化的样板,超越西方式的垄断寡头现代化。

中国网络安全产业是保障国家主权、安全和发展利益的产业支撑力量,也是保障国家数字化转型的关键。然而,从网络安全与信息化产业的规模对比来看,网络安全实际投入不足以支撑基础防护,网络安全产业体量与信息化产业的规模不相匹配。威胁对抗的升级、安全基石重新回归主机侧,为产业发展带来了新的契机。

我国网络安全产业在系统安全和反病毒引擎等关键领域拥有较强的技术积累。国内最早的反病毒企业和国际同行几乎同时起步,经历了激烈的国际竞争以及国内特殊的互联网免费安全模式的考验,逐渐形成了稳定的产业基础。然而,由于主打产品多为软件形式,且国内政企市场对互联网免费安全的普遍认知,导致主机系统安全长期未得到足够的重视和投入。此外,基础信息产品在信创发展初期存在多种计算机架构、CPU 和操作系统的组合,也给网络安全产品带来了适配困扰,尤其是使主机安全防护的场景变得更加复杂。

整体而言,仅靠网络安全市场的供给侧主体力量无法全面推动网络安全领域的改革,需求侧的改革也是必要的。这需要政府机构在顶层设计层面上发挥主导作用,推动创造系统化、刚性化、深度化的网络安全需求。同时,网络安全行业本身也需要实现技术创新突破、要素调整和产业升级,探索网络安全的第一性原理,逐渐形成自身严密的安全赛道理念、框架和实施方法,完成从“战略新兴领域的落后生产力”向“新质生产力”的转变。在效能导向的持续建设下,全主机系统场景安全、恶意代码对抗、IoT 和智能设备场景的内生安全等,都有潜力成为我国网络安全能力的长板,这不仅能够有效保障我们自身的安全,同样能让我们在国际市场上保持竞争力。

(本文刊登于《中国信息安全》杂志2024年第7期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。