文 觀察者網專欄作者 潘攻愚
“不要去盯着惡意軟件,而是要去識別惡的思維。壞人們正在利用他們的狡猾技巧滲透和攻擊地球上的每一家大公司,我們必須知彼之長,進而實施打擊,最終战勝他們。”
這是八年前CrowdStrike CEO和CTO共同接受某家西方主流媒體採訪時的名言。
上周五以來,這家全球知名的雲計算端點網絡安全公司以一種奇異的方式,讓名字本身的字面涵義成爲了現實:群體+罷工(Crowd+Strike)。霎時間,全球微軟Windows系統大面積藍屏死機(BSOD),致使航班停飛、火車晚點、銀行異常等,間接經濟損失難以估量。
幾天來,社交媒體上圍繞此事的聲音主要分爲三種,一種來自Crowdstrike、微軟和美國官方安全部門的道歉性解釋;一種來自歐美科商界名流如馬斯克的斥責和嘲諷;一種則是陰謀論的“小作文”,內容無怪乎這是否是一場有關網絡安全战爭的應力測試?抑或是Crowdstrike家賊難防,是內鬼的黑客式攻擊?
對其中任何一種聲音的認同或駁斥,以及從技術層面對事件本身的解讀(比如終端安全軟件Falcon Sensor推送的錯誤配置更新與Windows兼容性問題),都離不开對本文开頭這一段話做一種溯源性的分析。Crowdstrike的“網絡安全神學”,就隱藏於此。
該“神學”產生了連他們都無法自視的三大悖論。
悖論一:“沒有壞程序,只有壞人”——誰是壞人?
一部短小精悍的人類互聯網軟件發展史,充滿了原始軟件开發者與分銷商的利益糾葛。微軟Windows過去幾十年來不斷开疆闢土,這一過程伴隨着的是將其廣袤領地的安全保衛權分封給“諸侯”,即諸多端點和雲工作負載承包商。
CrowdStrike背靠Windows生態大樹,接住了多租戶、雲原生時代潑天的富貴,在網絡安防端點保護市場目前拿到了全球近乎四分之一的市場份額,依靠過去十多年處理大型國際網絡攻擊和懲治黑客的優異記錄,成爲一衆全球500強跨國大公司的內網安保的不二人選,公司高管也在美國“旋轉門”體系下,不斷遊走在政府情報系統和頭部網安商界之間。
不過,我們還是需要承認CrowdStrike在殺毒軟件、威脅情報、端點檢測和響應(EDR)等方面所作的顛覆性創新,這種創新性其實根植於深層訪問計算機的操作系統。這種主動的“端點檢測和響應”機制相比傳統殺毒軟件被動識別防御體系要高明的多。
CrowdStrike首席執行官George Kurtz從不諱言並且在公开場合大肆宣揚自己的打法是多么的“高明”:我們的競爭對手只能識別壞程序,我們能識別“壞人”。換言之,最高級的殺毒軟件要從作惡者的“念頭”就要开始將其掐滅,如果作惡者已經出現了作惡行爲,你再去防御就已經晚了,這無異於一種高級的安全機制左移(shift left)。
雲原生技術的不斷成熟,讓CrowdStrike在雲端部署的主動防衛機制可以大顯身手。該技術架構能夠讓大型公司的軟件系統盡可能地剝離雲應用中的非業務代碼,聚焦功能性業務,高效打造敏捷、智能雲計算服務。
雲原生網保市場,未來將有超過20%的年均復合增長率,前景看好
企業數據遷移上雲,突破了本地化的規模問題,無服務器架構可以做到化繁爲簡,將能夠讓企業免去管理與維護服務器的過程,因此,系統安全能力隨之在在雲主機、虛擬化、容器中延展。
Falcon平台是CrowdStrike的核心拳頭產品,完全基於雲端部署的SaaS模型,公司公开對外標榜該產品能夠提供實時的攻擊指標、威脅情報,在“矛”和“盾”的比拼中不斷加厚盾的防御力。
如果把一家企業的數據中心和網絡後台比作一個莊園,CrowdStrike的Falcon平台保護機制軟件在雲端就可以掃描這個莊園的每一片牆皮、磚縫和下水道的暗溝,力求殺死可能讓蟑螂、臭蟲存在的土壤,並同時抵御潛在外部入侵者。
它的邏輯是,通過理解所服務的主人的一切,包括肌體內一切毛細血管,來試圖猜測、判斷來自外部入侵者可能會選擇的突破點,從而監測到壞人的“非法念頭”,做好提前預警。
越是更好地理解你服務的主人,你就越能判斷主人潛在的敵人是誰,如果你不能識別潛在的敵人,那只能說明你對服務的主人不了解。
這就是Crowdstrike在雲計算時代的生存邏輯。問題是,他們太了解其服務的主人——微軟Windows了,以至於把自己變成了主人的敵人。
悖論二:用AI加持算法,卻無法用AI解決問題
如前所述,Crowdstrike近幾年乘上了發展的快車,時代的進程除了雲原生之外,還有AI大潮。Crowdstrike可是去年納斯達克十大“AI牛股”之一。
在“AI+網絡安全”成爲資本市場青睞的寵兒之大背景下,Crowdstrike敏銳嗅到了商機,他們搞了一個虛擬AI分析師,幫助平台用戶快速創建工作流程。用戶可以向該虛擬分析師提問,可以了解實時網絡安全漏洞或其他安全問題。
而且該公司還優化了算法,通過使用ChatGPT等AI工具來幫助重用和調整源代碼,其Falcon平台利用大規模的相似性搜索來提高效率,利用基於AI深度學習的特徵描述符來促進對數十萬惡意腳本的近乎即時搜索。
Crowdstrike研發的AI防病毒分析師Charlotte小姐,很遺憾,她在出事之後啥也幹不了
通過比較傳入文件與已知惡意軟件的相似性來進行檢測的理念並不新鮮、不過,這一次我們需要恭喜CrowdStrike,他們多了一個研究樣本,就是他們自己开發的“惡意軟件”。
其產生的悖論在於,通過AI加速用戶快速創建工作流程,提高檢測效率,但出了問題時,AI算法卻失靈了,CrowdStrike的修復程序需要一台電腦接一台電腦手動修復。不少網絡安全專家說,受影響組織的恢復可能需要數周或更長時間,耗時耗力。
悖論三:反華與自主可控的回旋鏢
即便是最推崇CrowdStrike安防水平的擁躉,也無法否認CrowdStrike並不是一家完全做到“在商言商”的科技公司。不用過多起底這家公司的成長史,僅舉一例即可知全貌。公司最高領導人之一曾是FBI官員Shawn Henry,他帶領公司有過多次解決對俄羅斯、朝鮮、伊朗等國黑客攻擊的經歷。
如果我們再次追溯人類軟件發展史,就會發現二战後的美國,工業、商用操作系統的最大买家長期是美國國防部和國家航空航天局等官家,ToG而非ToB曾是網絡安防的重點布局對象。
基於此,我們才能理解美國“網絡安全和基礎設施安全局”(CISA)主管Jen Easterly在Linkedin上評論此次災難性事件時,不斷強調公衆要克制情緒,不要對CrowdStrike“扔屎球”,更要看在之前CrowdStrike搞過對華出色的情報战和信息战的份上,盡可能原諒這種“小失誤”。
美國網安局主管居然在Linkedin上發長文,認爲此事不能排除是中國黑客所爲更加奇異的是,此次BSOD大災難出現之後,歐美主流媒體紛紛追問爲何中國反而成爲了此次事件的免災高地,得出的結論是CrowdStrike在華市場份額可以小到忽略不計,“保護”了中國的網絡安全。在強調網絡安全,技術主權自主可控的敘事模式下,CrowdStrike對華技術隔離反而助華免疫,這是對CrowdStrike多年來所秉承的政商一體發展邏輯的巨大諷刺。
鴻蒙初开正當時
在浩繁且細密的ICT上下遊全產業鏈中,軟件操作系統及其附帶的安防體系有“倒金字塔基石”之喻,是萬億級別數字經濟的底座和基石。純粹從金錢角度考量,CrowdStrike的市值相比此次藍屏死機事件帶來的直接和間接的經濟損失也根本不值一提。
把信息安全保護職責讓渡給少數幾家外部廠商,讓我們意識到所處的世界原來如此脆弱,一串代碼可以讓整個經濟運轉的齒輪瞬間卡殼甚至短時間內報廢。
因此,國產操作系統網絡安全是時代性的必答題。CrowdStrike給我們送來了答題卡。
开天闢地,鴻蒙初开。上個月的華爲开發者大會上宣告了“純血鴻蒙”——HarmonyOS NEXT的誕生。從這一刻起,鴻蒙系統已經是“在海岸遙望海中已經看得見桅杆尖頭了的一只航船”,正在駛入深海的鴻蒙必將還要經過風高浪急的考驗。
如前所述,CrowdStrike特別之處正是因爲其基於“雲原生技術”的安全模式,採用SaaS的終端防護產品架構,通過SaaS訂閱的方式集成了不同雲模塊,總體涵蓋了端點安全、安全和IT運營和威脅情報等各方面的服務,並且通過單一數據模型和开放式雲架構。
也正因爲如此,CrowdStrike的愚蠢操作導致了一起因廣泛使用的安全產品故障,導致大量主機系統崩潰,至少20多個國家和地區的組織機構的業務系統服務中斷,全球多地的航空運輸、醫療服務、媒體、銀行與金融服務、零售、餐飲等行業或公共服務受到了影響。
觀察者網專欄作者張仲麟發文指出,國內航空公司大部分使用的都是中航信系統,其運行環境基於Linux,也沒有使用微軟的Azure雲服務或者亞馬遜的AWS,因此此次藍屏死機事件基本沒有波及到中國大陸的銀行業。
從現實層面上看,微軟Windows依然是目前中國諸多政企部門所長期依賴的操作系統。國產操作系統替代的急迫性,也勢必讓業內會高度重視鴻蒙系統對網絡安防性能的集成,這也有望打破Windows+Crowdstrike這種“操作系統+防務外包”的運營模式。
雖然Crowdstrike在華業務極少,但Windows在中國依然有極高的市佔率
以金融服務行業爲例,鴻蒙能否帶來高質量的防火牆?原生鴻蒙的开發能爲國產網絡安防帶來哪些新元素?
目前,從佔用戶時間高達99%的所有APP的鴻蒙开發進度來看,雖然目前仍稱不上“行百裏者半九十”,但某些帶有鮮明特色的頭部APP,在對安卓、iOS的开發邏輯可以豐富我們對鴻蒙系統本身的網絡安防認知;從鴻蒙原生生態的終端應用上看,華爲還需和諸多芯片設計公司合作,進一步拓展鴻蒙原生應用版本开發,夯實HarmonyOS NEXT鴻蒙星河版一次开發、多端部署的用戶體驗一致感。
mPaaS場景中台能力包含了安全檢測、加固、威脅感知等以mPaaS模式开發鴻蒙操作系統,可以對標手機銀行APP,比如解決手機銀行APP用戶活躍度低,場景單一,功能重復等弱點,它們在开發過程中和手機銀行APP的競爭,以及鴻蒙對iOS,安卓的競爭中已經探索出了一套符合自身打法的底層邏輯。
mPaaS核心優勢是开發者們可以利用其工程化的开發框架自動生成原始代碼,提供模塊化的开發模式讓多人協同开發,最後如同搭積木似的快速搭建自己的APP。
從最基礎的APP开發引擎,到移動端的運營,融入小程序技術框架,再到移動新媒體和AI智能化運營,mPaaS已經在移動端可以提供成熟的從开發到運維的一站式的全面的解決方案。螞蟻數科移動科技產品總經理祁曉龍表示,針對鴻蒙產品开發的完整時間表,可以和mPaaS產品的技術邏輯演進可以一一對應。
從螞蟻數科官方發布的开發路线上看,鴻蒙版APP的基礎流程至少包括了這么幾個階段:梳理APP中使用的技術棧,包括第三方和閉源模塊,然後再明確這些技術棧是否在鴻蒙上是否可以原生支持,以及mPaaS可以提供怎樣的技術平移。然後把整個升級方案和計劃加以明確,最後再做整個鴻蒙團隊的技術搭建和儲備,开發鴻蒙的殼應用並將其和APP的終端SDK(軟件包)對接起來。
在這一過程中,我們可以找到不少mPaaS和鴻蒙系統的獨特優勢的有趣契合。mPaaS架構由下至上分爲三層,底層爲服務端提供的各種協議和移動網關,爲上層應用提供相應的支持。第二層爲客戶端开發人員提供相應开發組件,保證客戶端功具有相應功能。最上層爲整個軟件系統的具體業務場景提供解決方案,幫助开發者對接市場。
“純血鴻蒙”意味着鴻蒙作爲一個完整的系統可以實現對AOSP(开源安卓項目)的替代,有了鴻蒙+HMS,就可以實現安卓、iOS系統所有功能的剝離。mPaaS結合“純血”鴻蒙支持能力,可以重新設計mPaaS涉及的相關組件的架構、流程等,包括基礎平台、移動網關、移動數據同步、移動消息推送等等。
結語
mPaaS“純血鴻蒙”可以對業務和界面實施動態化代碼代开發,功能和界面可以進行熱更新,通過其豐富的組件實現場景優化,對用戶行爲進行行爲分析,拓展多業務功能,以此達到良好的用戶體驗並提高產品競爭力。
“純血”鴻蒙從根本上擺脫了CrowdStrike那種獵巫式的識別敵我的進攻型防御路线,在用戶交互層面做到了快速迭代、小步快跑,讓用戶充分感受鴻蒙系統帶來的正反饋,以用戶黏性的方式保證了用AI識別潛在風險,又能讓AI算法解決出現的問題;同時,在供給側,華爲還聯合了衆多Tier1的鴻蒙生態建設者繼繼續擴大鴻蒙終端入口的接入渠道,通過以量促價,吸引更多开發者加入,降低了开發成本,保證鴻蒙生態的持續完善。
CrowdStrike一手造成的“網災”,證明了獨立行走的鴻蒙在終端應用的拓展,以及在國產網絡安防標准制定方面還有大量的藍海市場可深耕。
無論是开發者的投入成本和情緒價值匯報,終端應用場景的豐富,還是准入標准的夯實,都是“純血鴻蒙”長徵途中需要不斷跨越的雪山和草地。
標題:“藍屏網災”暴露三大悖論,“純血鴻蒙”另闢蹊徑
地址:https://www.utechfun.com/post/402167.html