打造自主強大、穩定可靠的主機安全防護能力:“微軟藍屏”事件的警示與啟示
責編:gltian |2024-10-14 16:58:462024 年 7 月 19 日,美國網絡安全公司“眾擊”(CrowdStrike)更新了終端安全軟件的內容配置,導致全球近千萬臺 Windows 系統出現藍屏死機現象,20 多個國家的交通、金融、醫療、零售等行業受到嚴重影響。盡管我國也有大量 Windows 用戶,但在此事件中幾乎未受影響,這突顯了我國網絡安全產品自立自強發揮的重要作用。該事件對我國數字化轉型和網絡安全能力建設具有正反兩面的借鑒意義,值得我們深入思考。
一、事件分析
“眾擊”公司的一次終端安全產品常規更新操作,引發了全球 20 多個國家的交通、金融、醫療等基礎設施網絡大面積癱瘓。究其深層原因,是市場寡頭壟斷的惡果,同時,事后處置遲緩及不周全,多種效應疊加導致了損失的放大。
(一)網絡安全事故導致“雪崩”效應
“微軟藍屏”事件源于“眾擊”公司對終端安全軟件“Falcon Sensor”進行的內容配置更新。“眾擊”公司官方報告稱,此次內容配置更新存在一個漏洞,該漏洞允許將“有問題的內容數據”部署到客戶電腦上而導致異常,進而引發了 Windows 操作系統崩潰。
事件造成全球約 850 萬臺安裝 Windows 操作系統的計算機器宕機,引發美、英、德、澳、加、日等 20 多個國家和地區的組織機構遭遇業務系統服務中斷,嚴重影響了全球多地的航空運輸、醫療、銀行與金融服務、電信、媒體、零售、餐飲等行業及公共服務。據供應鏈風險管理公司英特羅斯(Interos)估計,超過 67 萬家企業受到直接影響,其中逾 40% 位于美國,近 30% 位于歐洲。全球四分之一的財富 500 強企業受到影響,美國保險公司 Parametrix 在 7 月 24 日評估稱,財富 500 強企業(不包括微軟)的損失高達 54 億美元,其中銀行業損失超過 10 億美元,醫療保健行業損失近 20 億美元。
這是近年來罕見的由網絡安全問題引發的全球性重大公共安全事件,不僅揭示了數字世界的脆弱性,也突顯了網絡安全的重要性。
(二)市場寡頭壟斷是深層原因
本次事件發生的背景是“基礎信息產品+網絡安全”的市場壟斷疊加。
Windows 操作系統和微軟的廣泛分布,使得微軟在全球用戶,特別是政企場景中已經具備了基本的壟斷地位,根據愛爾蘭網絡流量分析網站 StatCounter 的統計,截至 2024 年 7 月,微軟 Windows 操作系統占全球桌面操作系統市場份額的 72.08%。而“眾擊”公司作為美國網絡安全領域的頭部企業,主要以云和終端計算環境為防護目標,基于威脅檢測對抗為基礎能力,以主機系統側安全為產品形態,提供安全托管服務。2024 年 6 月,該公司的市值一度接近千億美元,是全球市值最高的網絡安全上市公司之一。國際數據公司(IDC)2023 年統計數據顯示,在“端點檢測和響應”軟件市場上,“眾擊”公司的全球份額約占 17.7%,連續 3 年排名第一,其產品被全球微軟 Windows 操作系統用戶廣泛使用。同時,“眾擊”公司還與微軟云、亞馬遜云、谷歌云等建立了深度合作關系,許多云服務客戶廣泛選擇使用“眾擊”公司的安全服務。微軟與“眾擊”的市場壟斷疊加效應放大了網絡安全風險,導致此次事件造成嚴重危害。
分析認為,“眾擊”公司的崛起不僅得益于其技術的先進性和對計算架構及資產體系演進過程中安全需求轉變的把握,還得益于美國政府的資本支持和政策推動,體現了旋轉門機制的運作成果。“眾擊”公司與美國政府關系緊密,現為美國聯邦政府、國防部等多個機構的主要安全供應商之一,是美國國土安全部網絡安全和基礎設施安全局(CISA)組織的聯合網絡防御合作計劃(JCDC)的首批成員,也是美國國防部受控非機密信息(CUI)最高授權級別 IL5 供應商,負責保障美國政府和軍方最關鍵的非機密資產。正是在美國政府的大力扶植下,“眾擊”公司才能擁有了目前的市場領導地位。
(三)處置遲緩、態度傲慢、多種效應疊加導致損失放大
事件發生后,“眾擊”公司迅速采取了響應措施,在 78 分鐘后即從升級服務器中撤下了相關更新,并開始部署回滾操作。然而,整體的應急處置節奏并不理想,舉措滯緩不夠周全。公司首席執行官將此次責任歸咎于“意外/失誤”而不承認存在“錯誤/缺陷”。
在技術緩解措施方面,“眾擊”公司官方發布的恢復措施相關信息需要用戶登錄認證后才能查看,這忽視了受影響的用戶主機已經藍屏宕機,根本不具備登錄“眾擊”公司網站查看信息的條件。官方公告中僅提供了一種解決方案,即在安全模式下進入對應目錄刪除特定文件的手工操作方式,卻始終沒有提供一個快速處置工具,導致網管和用戶被迫以極其低效的手工方式操作恢復有問題的主機。
在此次事件中,一大困難是云租戶用戶無法進入安全模式進行故障處置,只能采取鏡像處置等措施。更嚴重的問題是,大量用戶啟用了TPM+BitLocker 的全磁盤加密(包括系統卷),這就意味著在進行故障處理時,需要輸入 BitLocker恢復密鑰,但相當一部分用戶可能并沒有留存或有效管理恢復密鑰。這就暴露了保密性和安全性之間的微妙沖突和疊加問題。盡管 BitLocker 建議用戶準備好恢復密鑰,但長時間未提供其他輔助方法。最終,由微軟提出了一個“可能需要 15 次重啟”的解決方案。正是在這種怠惰的應急處置下,事件發生 10 天后,全球仍有 3%(大約 25 萬臺)的受影響系統設備未能恢復,只能重置或替換。
事件充分反映出,安全產品在防御體系中處于關鍵位置,為了對抗威脅需要高頻度的升級,而這些升級通常都在后臺自動化運行,更易成為自身測試的盲點和客戶側場景下的“黑箱”。同時,由于安全產品具備安全功能屬性,更容易獲得用戶的信任感,但產品的安全功能并不等同于產品本身的安全性。如果安全廠商忽視了產品自身的安全性,那么功能越多可能帶來的不安全性就越大。一旦安全軟件的供應鏈體系遭受攻擊,就可能導致更大范圍的系統崩潰和癱瘓風險。
二、幾點啟示
“眾擊”公司的標志是一只紅色的獵鷹,象征著其高飛銳利的企業理想。然而,此次“獵鷹折羽”事件的整體過程及其前因后果為我們提供了諸多啟示。
(一)事件凸顯了我國網絡安全產業和技術自立自強的關鍵意義
此次我國能夠“置身事外”的一個重要原因是,雖然國內有眾多 Windows 用戶,但大多數用戶選擇使用的是國產安全軟件。網絡安全產品和技術的自立自強具有重大意義,其重要性不亞于(甚至在某些場景下超過了)基礎信息產品和技術自主性的價值。基礎信息產品的自立自強價值在于,即使在脫鉤、斷供、“卡脖子”的情況下,我們依然能夠支撐數字化轉型的發展。當我們的產品具備特色和先進性時,才能進入國際市場參與競爭。而網絡安全的自立自強價值在于,無論運行何種信息系統,我們都能擁有自己的安全屏障。在網信領域,西方長期采取高端限制、中端壟斷、低端沖擊的策略,試圖遏制中國產業的發展。然而,在網絡安全領域,中國長期堅持獨立自主的原則,這不僅使我國的產業在西方市場的沖擊下保持了競爭力,確保了在西方斷供時依然有保障,而且隨著我國產業的逐步壯大成熟,還能在國際市場上展開競爭。
(二)要實現安全能力自主,降低對“旋轉門”企業的安全依賴
“眾擊”公司具有鮮明的旋轉門特征,其團隊成員和多位高管都曾服務于美國情報機構。該公司曾多次炮制抹黑中國的技術報告,為美國軍方和情報機構遞交“投名狀”,而美政府也“投桃報李”,將“眾擊”公司列為其在“向前防御”戰略的一部分。在國際商業競爭中,美政府相關部門反復下場打壓該公司主要的國際競爭者,為其在國際市場快速崛起“保駕護航”。
為美國情報機構提供支持或直接參與操作的廠商,通常是情報承包商或軍工承包商。而像“眾擊”公司這樣的“資本寵兒”,其核心能力仍然集中在防御方面。“眾擊”公司采用廣泛的托管運行模式,深度收集用戶信息并匯聚到自身服務器上。考慮到美方情報機構與 IT 企業之間的協作機制,如“棱鏡”項目,這些數據很可能被美情報機構獲取。在美軍推動的“向前防御”戰略中,“眾擊”公司相關的安全產品具備了軍事裝備屬性,通過產品的云化、托管等運行模式,美國實際上掌握了盟友信息系統的操作及防御能力,獲得了一定的關鍵信息系統掌控權。
因此,世界各國尤其是發展中國家,在數字化轉型和社會發展的過程中,應當減少對信息寡頭和國際壟斷企業的依賴,以保證自身的現代化進程能夠自主可控。
(三)網絡安全產品自身的穩定性和安全性需被高度關注
這次事件進一步引發了業內對于底層的安全機制和保障系統穩定性的關注,也讓我們認識到安全產品的本質是軟件,而非硬件設備。因此,要實現有效的防護,安全防護產品需要采用更多底層驅動和內核技術,以實現對攻擊者的前置防御。那些不使用底層技術的安全防護產品可能更穩定,但也可能無法防御大多數的攻擊。影響系統穩定性和安全性的主要因素包括主防機制、熱補丁、特定的 Rootkit 或頑固感染病毒的查殺。其中,確保主機驅動的穩定性是主機防護最關鍵的質量指標。
對于安全廠商來說,在保證安全產品有效防御能力的同時,也要重視產品自身及其能力的持續升級。這包括完善升級過程中的灰度發布能力、提升品質控制管理,同時提高代碼的安全水平和安全產品自身的安全性能。片面強調安全優先或穩定性優先都是不可取的。安全產品需要在快速響應機制和引入的安全性風險之間做出謹慎選擇,這對每一個專注于能力建設的安全企業而言,都是一道充滿挑戰的選擇題。對于安全軟件而言,要考慮的不僅是穩定性與能力之間的平衡,更是在嚴格的品質控制約束下,如何有效地應對攻擊活動和威脅的不斷演化。
更值得注意的是,盡管基本可以排除“眾擊”公司事件是由供應鏈側被入侵引發的,但這種風險的可能性依然存在。如果安全軟件在使用場景或供應鏈體系中被入侵,后果將是災難性的。因此,安全產品本身的安全性以及其代碼安全工程水平,包括設計、開發、編譯、發布、更新和運營的全生命周期安全水平,都必須得到切實的提升。
三、深度思考
此次事件給我們帶來的啟示絕非只有安全產品自身的穩定性問題,其反向彰顯了主機系統安全基石的價值,警示我們必須構建對標國際先進廠商的主機系統側防御能力。
隨著資產云化、泛在接入和加密流量的廣泛應用,傳統邊界防護的衰減和失效已經成為不可逆轉的趨勢,主機系統側安全基石價值的回歸效應越來越明顯。安全對抗已從聚焦于網絡檢測和攔截“御敵于城門之外”,轉變為必須全面應對主機系統側的惡意代碼、混合執行體攻擊、漏洞組合利用以及社工釣魚等更深層次的威脅。“眾擊”公司所展示的惡意代碼(病毒)檢測防護、內核級主動防御、分布式主機防火墻和威脅阻斷、外設和硬件管控等模塊化能力,都是很好的能力對標物。我們需要構建與之相匹敵甚至更為超越的系統安全能力,在聚焦于防御有效性的同時,保持威脅對抗的敏捷迭代,并確保安全產品本身的安全性、穩定性和可靠性。
盡管此次事件源于內核級別的主機防護,但我們絕不能因噎廢食。唯有賦予安全產品系統內核級的對抗能力,才能確保其安全防御性能。安全能力與穩定可靠性是辯證統一的,如果在災難事件中只基于片面、單一的視角去吸取教訓改進,那么很可能會適得其反。
這一次災難能“置身事外”并非說明我們通過了“大考”,只能說真正需要我們應對的風險還潛伏在不遠的未來。從整個數字化運行來看,本次事件實際上是西方寡頭資本現代化模式運行下的數字世界“過現代化”事故。而在我國,盡管在數字化轉型中已經形成了一部分高度現代化的樣板,但在廣大政企領域,仍然處在未充分完成的數字時代現代化和工業化階段。因此,當務之急是必須打造中國式數字時代現代化的樣板,超越西方式的壟斷寡頭現代化。
中國網絡安全產業是保障國家主權、安全和發展利益的產業支撐力量,也是保障國家數字化轉型的關鍵。然而,從網絡安全與信息化產業的規模對比來看,網絡安全實際投入不足以支撐基礎防護,網絡安全產業體量與信息化產業的規模不相匹配。威脅對抗的升級、安全基石重新回歸主機側,為產業發展帶來了新的契機。
我國網絡安全產業在系統安全和反病毒引擎等關鍵領域擁有較強的技術積累。國內最早的反病毒企業和國際同行幾乎同時起步,經歷了激烈的國際競爭以及國內特殊的互聯網免費安全模式的考驗,逐漸形成了穩定的產業基礎。然而,由于主打產品多為軟件形式,且國內政企市場對互聯網免費安全的普遍認知,導致主機系統安全長期未得到足夠的重視和投入。此外,基礎信息產品在信創發展初期存在多種計算機架構、CPU 和操作系統的組合,也給網絡安全產品帶來了適配困擾,尤其是使主機安全防護的場景變得更加復雜。
整體而言,僅靠網絡安全市場的供給側主體力量無法全面推動網絡安全領域的改革,需求側的改革也是必要的。這需要政府機構在頂層設計層面上發揮主導作用,推動創造系統化、剛性化、深度化的網絡安全需求。同時,網絡安全行業本身也需要實現技術創新突破、要素調整和產業升級,探索網絡安全的第一性原理,逐漸形成自身嚴密的安全賽道理念、框架和實施方法,完成從“戰略新興領域的落后生產力”向“新質生產力”的轉變。在效能導向的持續建設下,全主機系統場景安全、惡意代碼對抗、IoT 和智能設備場景的內生安全等,都有潛力成為我國網絡安全能力的長板,這不僅能夠有效保障我們自身的安全,同樣能讓我們在國際市場上保持競爭力。
(本文刊登于《中國信息安全》雜志2024年第7期)