If interested, please send a message to:Telegram Me
【文/观察者网专栏作者 潘攻愚】
“不要去盯着恶意软件,而是要去识别恶的思维。坏人们正在利用他们的狡猾技巧渗透和攻击地球上的每一家大公司,我们必须知彼之长,进而实施打击,最终战胜他们。”
这是八年前Crowdstrike CEO和CTO共同接受某家西方主流媒体采访时的名言。
上周五以来,这家全球知名的云计算端点网络安全公司以一种奇异的方式,让名字本身的字面涵义成为了现实:群体+罢工(Crowd+Strike)。霎时间,全球微软Windows系统大面积蓝屏死机(BSOD),致使航班停飞、火车晚点、银行异常等,间接经济损失难以估量。
几天来,社交媒体上围绕此事的声音主要分为三种,一种来自Crowdstrike、微软和美国官方安全部门的道歉性解释;一种来自欧美科商界名流如马斯克的斥责和嘲讽;一种则是阴谋论的“小作文”,内容无怪乎这是否是一场有关网络安全战争的应力测试?抑或是Crowdstrike家贼难防,是内鬼的黑客式攻击?
对其中任何一种声音的认同或驳斥,以及从技术层面对事件本身的解读(比如终端安全软件Falcon Sensor推送的错误配置更新与Windows兼容性问题),都离不开对本文开头这一段话做一种溯源性的分析。Crowdstrike的“网络安全神学”,就隐藏于此。
该“神学”产生了连他们都无法自视的三大悖论。
悖论一:“没有坏程序,只有坏人”——谁是坏人?
一部短小精悍的人类互联网软件发展史,充满了原始软件开发者与分销商的利益纠葛。微软Windows过去几十年来不断开疆辟土,这一过程伴随着的是将其广袤领地的安全保卫权分封给“诸侯”,即诸多端点和云工作负载承包商。
CrowdStrike背靠Windows生态大树,接住了多租户、云原生时代泼天的富贵,在网络安防端点保护市场目前拿到了全球近乎四分之一的市场份额,依靠过去十多年处理大型国际网络攻击和惩治黑客的优异记录,成为一众全球500强跨国大公司的内网安保的不二人选,公司高管也在美国“旋转门”体系下,不断游走在政府情报系统和头部网安商界之间。
不过,我们还是需要承认CrowdStrike在杀毒软件、威胁情报、端点检测和响应(EDR)等方面所作的颠覆性创新,这种创新性其实根植于深层访问计算机的操作系统。这种主动的“端点检测和响应”机制相比传统杀毒软件被动识别防御体系要高明的多。
CrowdStrike首席执行官George Kurtz从不讳言并且在公开场合大肆宣扬自己的打法是多么的“高明”:我们的竞争对手只能识别坏程序,我们能识别“坏人”。换言之,最高级的杀毒软件要从作恶者的“念头”就要开始将其掐灭,如果作恶者已经出现了作恶行为,你再去防御就已经晚了,这无异于一种高级的安全机制左移(shift left)。
云原生技术的不断成熟,让CrowdStrike在云端部署的主动防卫机制可以大显身手。该技术架构能够让大型公司的软件系统尽可能地剥离云应用中的非业务代码,聚焦功能性业务,高效打造敏捷、智能云计算服务。
云原生网保市场,未来将有超过20%的年均复合增长率,前景看好
企业数据迁移上云,突破了本地化的规模问题,无服务器架构可以做到化繁为简,将能够让企业免去管理与维护服务器的过程,因此,系统安全能力随之在在云主机、虚拟化、容器中延展。
Falcon平台是CrowdStrike的核心拳头产品,完全基于云端部署的SaaS模型,公司公开对外标榜该产品能够提供实时的攻击指标、威胁情报,在“矛”和“盾”的比拼中不断加厚盾的防御力。
如果把一家企业的数据中心和网络后台比作一个庄园,CrowdStrike的Falcon平台保护机制软件在云端就可以扫描这个庄园的每一片墙皮、砖缝和下水道的暗沟,力求杀死可能让蟑螂、臭虫存在的土壤,并同时抵御潜在外部入侵者。
它的逻辑是,通过理解所服务的主人的一切,包括肌体内一切毛细血管,来试图猜测、判断来自外部入侵者可能会选择的突破点,从而监测到坏人的“非法念头”,做好提前预警。
越是更好地理解你服务的主人,你就越能判断主人潜在的敌人是谁,如果你不能识别潜在的敌人,那只能说明你对服务的主人不了解。
这就是Crowdstrike在云计算时代的生存逻辑。问题是,他们太了解其服务的主人——微软Windows了,以至于把自己变成了主人的敌人。
国内头部网络安全技术服务公司安天集团在分析此次BSOD事件时,一阵见血地指出,该公司的终端安全软件Falcon Sensor推送的错误的配置更新与Windows系统发生了兼容性问题,证明了安全产品的安全功能和安全产品本身的安全的并不等价。
因此Crowdstrike这次无法实在无法甩锅到外部,辩解这是一场无意之失的bug引发了灾难性后果,而不是黑客攻击。这个结论无异于承认了自己就是那个“坏人”。
悖论二:用AI加持算法,却无法用AI解决问题
如前所述,Crowdstrike近几年乘上了发展的快车,时代的进程除了云原生之外,还有AI大潮。Crowdstrike可是去年纳斯达克十大“AI牛股”之一。
在“AI+网络安全”成为资本市场青睐的宠儿之大背景下,Crowdstrike敏锐嗅到了商机,他们搞了一个虚拟AI分析师,帮助平台用户快速创建工作流程。用户可以向该虚拟分析师提问,可以了解实时网络安全漏洞或其他安全问题。
而且该公司还优化了算法,通过使用ChatGPT等AI工具来帮助重用和调整源代码,其Falcon平台利用大规模的相似性搜索来提高效率,利用基于AI深度学习的特征描述符来促进对数十万恶意脚本的近乎即时搜索。
Crowdstrike研发的AI防病毒分析师Charlotte小姐,很遗憾,她在出事之后啥也干不了
通过比较传入文件与已知恶意软件的相似性来进行检测的理念并不新鲜、不过,这一次我们需要恭喜CrowdStrike,他们多了一个研究样本,就是他们自己开发的“恶意软件”。
其产生的悖论在于,通过AI加速用户快速创建工作流程,提高检测效率,但出了问题时,AI算法却失灵了,CrowdStrike的修复程序需要一台电脑接一台电脑手动修复。不少网络安全专家说,受影响组织的恢复可能需要数周或更长时间,耗时耗力。
悖论三:反华与自主可控的回旋镖
即便是最推崇CrowdStrike安防水平的拥趸,也无法否认CrowdStrike并不是一家完全做到“在商言商”的科技公司。不用过多起底这家公司的成长史,仅举一例即可知全貌。公司最高领导人之一曾是FBI官员Shawn Henry,他带领公司有过多次解决对俄罗斯、朝鲜、伊朗等国黑客攻击的经历。
如果我们再次追溯人类软件发展史,就会发现二战后的美国,工业、商用操作系统的最大买家长期是美国国防部和国家航空航天局等官家,ToG而非ToB曾是网络安防的重点布局对象。
基于此,我们才能理解美国“网络安全和基础设施安全局”(CISA)主管Jen Easterly在Linkedin上评论此次灾难性事件时,不断强调公众要克制情绪,不要对CrowdStrike“扔屎球”,更要看在之前CrowdStrike搞过对华出色的情报战和信息战的份上,尽可能原谅这种“小失误”。
美国“网安局”主管居然在Linkedin上发长文,认为此事不能排除是中国黑客所为
更加奇异的是,此次BSOD大灾难出现之后,欧美主流媒体纷纷追问为何中国反而成为了此次事件的免灾高地,得出的结论是CrowdStrike在华市场份额可以小到忽略不计,“保护”了中国的网络安全。在强调网络安全,技术主权自主可控的叙事模式下,CrowdStrike对华技术隔离反而助华免疫,这是对CrowdStrike多年来所秉承的政商一体发展逻辑的巨大讽刺。
鸿蒙初开正当时
在浩繁且细密的ICT上下游全产业链中,软件操作系统及其附带的安防体系有“倒金字塔基石”之喻,是万亿级别数字经济的底座和基石。纯粹从金钱角度考量,CrowdStrike的市值相比此次蓝屏死机事件带来的直接和间接的经济损失也根本不值一提。
把信息安全保护职责让渡给少数几家外部厂商,让我们意识到所处的世界原来如此脆弱,一串代码可以让整个经济运转的齿轮瞬间卡壳甚至短时间内报废。
因此,国产操作系统网络安全是时代性的必答题。CrowdStrike给我们送来了答题卡。
开天辟地,鸿蒙初开。上个月的华为开发者大会上宣告了“纯血鸿蒙”——HarmonyOS NEXT的诞生。从这一刻起,鸿蒙系统已经是“在海岸遥望海中已经看得见桅杆尖头了的一只航船”,正在驶入深海的鸿蒙必将还要经过风高浪急的考验。
如前所述,CrowdStrike特别之处正是因为其基于“云原生技术”的安全模式,采用SaaS的终端防护产品架构,通过SaaS订阅的方式集成了不同云模块,总体涵盖了端点安全、安全和IT运营和威胁情报等各方面的服务,并且通过单一数据模型和开放式云架构。
也正因为如此,CrowdStrike的愚蠢操作导致了一起因广泛使用的安全产品故障,导致大量主机系统崩溃,至少20多个国家和地区的组织机构的业务系统服务中断,全球多地的航空运输、医疗服务、媒体、银行与金融服务、零售、餐饮等行业或公共服务受到了影响。
观察者网专栏作者张仲麟发文指出,国内航空公司大部分使用的都是中航信系统,其运行环境基于Linux,也没有使用微软的Azure云服务或者亚马逊的AWS,因此此次蓝屏死机事件基本没有波及到中国大陆的民航业。
从现实层面上看,微软Windows依然是目前中国诸多政企部门所长期依赖的操作系统。国产操作系统替代的急迫性,也势必让业内会高度重视鸿蒙系统对网络安防性能的集成,这也有望打破Windows+Crowdstrike这种“操作系统+防务外包”的运营模式。
虽然Crowdstrike在华业务极少,但Windows在中国依然有极高的市占率
以金融服务行业为例,鸿蒙能否带来高质量的防火墙?原生鸿蒙的开发能为国产网络安防带来哪些新元素?
目前,从占用户时间高达99%的所有APP的鸿蒙开发进度来看,虽然目前仍称不上“行百里者半九十”,但某些带有鲜明特色的头部APP,在对安卓、iOS的开发逻辑可以丰富我们对鸿蒙系统本身的网络安防认知;从鸿蒙原生生态的终端应用上看,华为还需和诸多芯片设计公司合作,进一步拓展鸿蒙原生应用版本开发,夯实HarmonyOS NEXT鸿蒙星河版一次开发、多端部署的用户体验一致感。
mPaaS场景中台能力包含了安全检测、加固、威胁感知等
以mPaaS模式开发鸿蒙操作系统,可以对标手机银行APP,比如解决手机银行APP用户活跃度低,场景单一,功能重复等弱点,它们在开发过程中和手机银行APP的竞争中已经探索出了一套符合自身打法的底层逻辑。
mPaaS核心优势是开发者们可以利用其工程化的开发框架自动生成原始代码,提供模块化的开发模式让多人协同开发,最后如同搭积木似的快速搭建自己的APP。
从最基础的APP开发引擎,到移动端的运营,融入小程序技术框架,再到移动新媒体和AI智能化运营,mPaaS已经在移动端可以提供成熟的从开发到运维的一站式的全面的解决方案。蚂蚁数科移动科技产品总经理祁晓龙表示,针对鸿蒙产品开发的完整时间表,可以和mPaaS产品的技术逻辑演进可以一一对应。
从蚂蚁数科官方发布的开发路线上看,鸿蒙版APP的基础流程至少包括了这么几个阶段:梳理APP中使用的技术栈,包括第三方和闭源模块,然后再明确这些技术栈是否在鸿蒙上是否可以原生支持,以及mPaaS可以提供怎样的技术平移。然后把整个升级方案和计划加以明确,最后再做整个鸿蒙团队的技术搭建和储备,开发鸿蒙的壳应用并将其和APP的终端SDK(软件包)对接起来。
在这一过程中,我们可以找到不少mPaaS和鸿蒙系统的独特优势的有趣契合。mPaaS架构由下至上分为三层,底层为服务端提供的各种协议和移动网关,为上层应用提供相应的支持。第二层为客户端开发人员提供相应开发组件,保证客户端功具有相应功能。最上层为整个软件系统的具体业务场景提供解决方案,帮助开发者对接市场。
“纯血鸿蒙”意味着鸿蒙作为一个完整的系统可以实现对AOSP(开源安卓项目)的替代,有了鸿蒙+HMS,就可以实现安卓、iOS系统所有功能的剥离。mPaaS结合“纯血”鸿蒙支持能力,可以重新设计mPaaS涉及的相关组件的架构、流程等,包括基础平台、移动网关、移动数据同步、移动消息推送等等。
结语
mPaaS“纯血鸿蒙”可以对业务和界面实施动态化代码代开发,功能和界面可以进行热更新,通过其丰富的组件实现场景优化,对用户行为进行行为分析,拓展多业务功能,以此达到良好的用户体验并提高产品竞争力。
“纯血”鸿蒙从根本上摆脱了CrowdStrike那种猎巫式的识别敌我的进攻型防御路线,在用户交互层面做到了快速迭代、小步快跑,让用户充分感受鸿蒙系统带来的正反馈,以增加用户黏性的方式保证了用AI识别潜在风险,又能让AI算法解决出现的问题;同时,在供给侧,华为还联合了众多Tier1的鸿蒙生态建设者继继续扩大鸿蒙终端入口的接入渠道,通过以量促价,吸引更多开发者加入,降低了开发成本,保证鸿蒙生态的持续完善。
CrowdStrike一手造成的“网灾”,证明了独立行走的鸿蒙在终端应用的拓展,以及在国产网络安防标准制定方面还有大量的蓝海市场可深耕。
无论是开发者的投入成本和情绪价值汇报,终端应用场景的丰富,还是准入标准的夯实,都是“纯血鸿蒙”长征途中需要不断跨越的雪山和草地。