近期,就CrowdStrike事件,安天组织技术力量形成联合分析小组,连续36小时工作,在7月21日(周日)凌晨5点发布了长篇分析报告《CrowdStrike导致大规模系统崩溃事件的技术分析》。该报告全文约13000字,分析了本事件的技术原理和该软件的运行机制。除了该长篇分析报告,安天还第一时间发布了处置工具包(支持三种语言:简体中文、繁体中文以及英文)。
基于我们的工作,我想把一些分析研判的想法提供如下:
一、我国能在这次事件上能独善其身,最重要的是我们保持了网络安全产品和产业的自主性和独立性
国内政企机构有庞大的Windows主机用户基数,但我们能在这样的大规模事件中几乎未受到波及,一方面CrowdStrike对中国大陆禁售,另外一方面是因为中国用户可以选择中国自己的安全产品。这是一个重新深入认识中国网络安全产业和技术自立自强的重大意义的历史契机。在自立自强发展的路径上,过去我们基本资源投入还是聚焦在基础信息产品:如CPU、操作系统、数据库、主机等,网络安全和信息化投入对比实际是失衡的。网络安全实际投入不足支撑基础防护,网络安全产业体量完全不适配信创规模。特别是,由于网络安全产品中以设备形态,又有很大比例以信创为载体设备,回流到信创体系,所以真正投入到网络安全威胁检测对抗等的核心能力投入是较少的。网络安全产品能力意义的价值不亚于基础信息产品和技术的自主性。
二、我国当前面临的最突出的网络安全风险是大量主机系统无效防护问题,尚不是网络安全软件自身的稳定性问题
现实中,我国的网络安全防护整体水平参差不齐。一部分单位还处在低效、低水平的防护状态。特别是在主机系统侧安全水平较差。根据我们响应处置来看,为数不少的机构,特别是本应安全要求更高的隔离网和内网中,大量终端被病毒感染、蠕虫反复传播、批量机器被僵尸网络控制、宏病毒泛滥,这些低水平的非定向攻击都不能防护,整体处于极低的防护水平上。如果在这种情况下,我们不先深入改善防护,不关注终端场景的实际防护状态和安全厂商所提供的安全产品的有效防护能力,反而过度关注安全软件带来的稳定性问题。我们就会陷于:为了防止一个低概率、偶发性的质量风险,而导致我们自身会处在遭到反复攻击致效的必然性的误区。CrowdStrike事件是一个强能力、强运营产品的事故,我们要警醒分析其事故肇因,也要认真分析我们在能力和运营的差距。在提升国产系统安全防护以及产品安全防护的基础上,保证产品的稳定性,而不是把安全软件的稳定性问题当成唯一的问题,加剧弱能力产品胜出的劣币驱逐良币问题。
三、主机系统侧安全是现代网络资产体系的防御基石
CrowdStrike飞速发展的基础是云、端主机系统侧需求快速增长。先进计算架构的崛起导致的源自传统安全边界的失效,安全对抗从聚焦于网络检测和拦截御敌于城门之外,转入必须全面应对主机系统侧的恶意代码、混合执行体攻击、漏洞组合利用和社工钓鱼的深水区。随着数字化转型、资产云化、泛在接入和加密协议的普遍使用,防火墙、网闸等传统访问控制边界或数据交换边界已经全面塌陷,安全的基石正在重回主机系统一侧,系统安全能力既需要跟随现代计算结构的延展在云主机、虚拟化、容器中延展,也需要进一步强化传统终端、工业和专用场景工作站、移动设备等提供安全防护。现代防御体系既要构建出防御纵深,也必须构建网状的联动体系。让每一个主机和工作负载系统的单点防护能力形成组织和弹性,实现攻击者攻击一点即被感知,其载荷、战术将快速被捕获转化为情报共享,快速形成其他节点的防御能力。我国在终端和云安全产品和能力的发展基础不错。但不够重视主机系统侧安全能力建设、缺乏投入而带来的低效防护问题才是我们面对的现实问题。一些场景下,现实场景下是终端系统感染式病毒、蠕虫、宏病毒事件此起彼伏,而规划中却又在讨论着未知检测、APT防护和人工智能。部分主机安全产品缺少可靠的恶意代码检测能力,为降低成本,普遍采用检测能力严重不足的开源反病毒引擎ClamAV;甚至忽视供应链风险,在没有商业授权下,直接二进制嵌入国外反病毒引擎。部分产品缺少有效的驱动防护和阻断机制,只能通过少数Ring3 HOOK采集信息,基本无法看到隐蔽攻击行为。在主机配置加固方面,很多产品只能管理几十个配置点,而相比之下,美方STIG的安全规范,平均每种操作系统的安全配置点已达600多个。面对这种差距,对CrowdStrike开启嘲讽模式是没有意义的,反而应该正视在主机安全侧普遍存在的防护缺失问题。安全防护能力必须在系统侧持续强化,必须构建最小化的安全边界,堆砌盒子的方式越来越难以达成防御价值,伴随先进计算架构,将系统安全和威胁检测能力深度融合才是安全的未来
我国目前的整个网络信息环境非常复杂。一个典型的标志是:各种版本的Windows操作系统、Linux操作系统和与信创操作系统并存,甚至在一些用户中含有少量的很早期Windows系统和Solaris系统。这就造成了我国的网络安全防御面宽同时防御的复杂性高。如果在这种情况下,我们反而忽略了主机系统安全需要复杂的保护机制和对应的适配成本。主机侧的网络安全软件市场,由于是以软件载体为主,目前来看是白菜价的,这种白菜价的情况势必导致在网络安全防护问题上无法做更深度有效防护,然后就有走向弱能力的倾向。但这种状态如果持续下去,受到根本伤害的必然是我们自己、乃至我国的整体信息网络系统。
四、我们没有心存侥幸乃致幸灾乐祸的资本
面对国际同行的发生重大事件,我们没有幸灾乐祸的资本,而必须将本次事件视为产业的共同教训。系统安全是一种和保护对象深度耦合的产品形态,我们将保持对用户场景更深的敬畏。而对中国网络安全产业来说,这一次灾难发生于身外,并非说明我们通过了“大考”,只能说:真正需要我们应对的风险,还潜伏在不远的未来。对我们自己来说,从别人的事件中找到我们自己的改进点,在继续提升系统侧安全能力和防护效果的同时,持续强化自身的安全左移、协助客户完善能力分发运行流程,才是负责任的网安产业体系必须担当的责任。
在总体判断上,我建议把在这个问题视为资本推动、技术催化下产生的“过(度)现代化问题”,但我认为我们的目标中国式现代化,而不是产生反现代化、反集约化、反工业化倾向。如果用工业社会来作一个类比,CrowdStrike事件是过度工业化的产物,而相对来看,在部分数字领域,特别是在政企服务和政企安全领域,我国还处在碎片化、小生产阶段的小农作坊生态中。我们只有坚定提升我们工业化、集约化的水平,在这个过程走出我们的模式和样板,才能在全球信息化竞争中占据制高点,为中国式现代化提供坚实支撑。(作者:安天科技集团董事长、首席技术架构师 肖新光)
上一篇: 清朗网络也是优化营商环境 _光明网