宝宝梦蝶

（图来自于互联网，如侵权联系我删除）

谁还不是一个宝宝呢？

一只蝴蝶

“一只蝴蝶在巴西轻拍翅膀，可以在几周后引起美国得克萨斯州的一场龙卷风” 这个是气象学家给我们讲的“一只蝴蝶”的故事，这几天又有“一只蝴蝶”引发了全球性的风暴，只是这次这只“蝴蝶“存在与我们数字空间 ...

这次这只蝴蝶出现在一家美国名为CrowdStrike安全公司，大概是在北京时间2024年7月19日12:09这只蝴蝶开始了拍了下翅膀，结果就是导致全球多个国家关系到国计民生的包括航空、银行、医院、交通、紧急服务等基础设施行业中的Windows操作系统出现崩溃而导致业务大规模停摆，这无疑一次席卷全球的数字风暴

https://twitter.com/ianbremmer/status/1814301431626694940

是的，一个美国的网络安全公司的产品出现了一只蝴蝶，导致了同样来自美国操作系统Windows出现蓝屏崩溃，而最终影响了全球多个国家地区的各种关键基础设施服务停摆

好奇宝宝

作为一个合格的好奇宝宝，常常都会主动去思考一些“莫名其妙”的问题：

这个世界上还有多少个这样的蝴蝶？

一只蝴蝶要引发一场全球风暴都经历了什么？

一只蝴蝶要引发一场全球风暴我们能预防或阻止吗？

有人能主动控制这些蝴蝶吗？

...

美国“蝴蝶”

如果你问一个生物学家，那他很可能告诉你全世界各地分布着各种各样品种的蝴蝶，日常这些蝴蝶因为它们活动路径范围的有限，而只能局部的影响生态。显然本次讨论的不是一个生物学问题！

这里我要强调的是我是不认为美国的月亮是比其他地方要圆的，但是好奇宝宝天马行空的想，如果我是一只蝴蝶，也不得不承认美国的“蝴蝶”的威力，因为一点小小动静就能引发全球大风暴，这些都是它们拥有的很多的先发优势及积累造就的。

更加令人震惊的是本次这只蝴蝶出现在一家第三方的网络安全公司，因为按我们普通老百姓思维习惯，也就是有权有势大户人家才需要安保技术服务，而这种安保技术在小地方的地主老财有钱也不一定能获取到！所以从这次影响的行业属性来看，美国的基础设施都已经完整实现了“自主可控”的全覆盖，所以说用自己的石头砸自己的脚也是一种高调的炫耀，而且这次不光是砸了自己的脚，顺带把全球多个国家地区的的脚一起砸了 ...

如果说这是一场“秀”，事实证明这只蝴蝶成功引起大家个广泛关注，就连不少青楼的花蝴蝶借机在推特各种“搔首弄姿”，当然也有不少人是在“谴责”“消遣”这只来自美国网络安全公司的蝴蝶，大家觉得是这个公司这只蝴蝶非常好发现，并把他消灭在萌芽阶段。

发现“蝴蝶”

哲学家告诉我们“存在即合理”，回到好奇宝宝的在上面提到的第一个问题：“这个世界上还有多少个这样的蝴蝶？”，如果说这次这只美国“蝴蝶”事件是“自主可控”导致的结果，那么其他国家的“自主可控”是不是同样存在这种可能呢？显然答案是肯定，这次就是因为一只“蝴蝶”飞到一个石头上面，导致石头滚落砸到了脚，当然在这之前我们得首先承认上面提到“用自己的石头砸自己脚”远比“用别人石头砸我的脚”要科学很多，因为一个可以是“主动”，而一个只能是“被动”，所以说谁都有砸到脚的时候，但是“砸”与“被砸”是天壤之别，如果你看到有人砸到脚了第一时间是去嘲笑他人，显然是比较低级的恶趣味！

周迅告诉我们“不管是谁砸你的脚，你的脚都是很疼的”，我们还是得正面关注这个问题，有人说这个是“石头”的问题，我想为了坚固的城堡不得不使用质地坚硬的“石头”，如果因为你怕发生小概率的“砸到脚”事件，而去抛弃石头城堡建设，这显然是不科学的！城堡也要修，石头要用，那么我们第一个想到的是尽可能的避免“石头砸脚”的事情发生。

事实上类似于CrowdStrike这种事件也不是第一次发生，也不只是出现在网络安全类产品上，只是说网络安全类的产品因为需要去识别、拦截各类攻击不得不要求去请求操作系统的更高权限，这种必然来带操作系统的稳定性问题，所以发现这种“蝴蝶”互联网上有大量大厂采用的都是“灰度”更新（也就是先选小范围内先推送部署然，监控用户反馈，然后在逐步推送给所有用户）等机制进行保障。至于说在更新部署之前的啥QA测试这都是基本操作，这些都是可以避免本次问题的产生。

但是“蝴蝶”无处不在，妄想通过灭绝“蝴蝶”来实现绝对安全是不可能的，那么我们回到上面好奇宝宝提到的第二问题 “一只蝴蝶要引发一场全球风暴都经历了什么？” 

“蝴蝶”路径

蝴蝶效应说明的是通过”微小的初始变化如何在一个复杂的非线性系统中被放大，最终引发巨大的变化“，在这里我想要强调是从一只”蝴蝶“到一场“龙卷风”是这复杂的路径，这个过程其实跟我们平时谈论比较多的“供应链”是相关的，这里比较庆幸的是，相比蝴蝶效应里的路径，这个路径相对来说还是比较线性，相对可梳理的。那么我们想要的做的抓住上下游就相对比较好控制。

在本次的CrowdStrike事件实际上就是一个比较典型的安全能力“供应链”上的事件，CrowdStrike是作为最开始的安全产品提供商，所以这个事件也是在告诫安全同行：“加强产品自身的安全及稳定性建设”是必须的，作为一个供应链上游的“供”方企业都必须有相对下游“应”方负责任的觉悟！在之前我提过一个“安全风险转移理论”：“安全产品或者能力实际上不是也不能直接去解决安全风险的，而是把这些安全风险及能力进行部分的转移”，事实证明安全类产品已经成为很多APT攻击的主要目标，而这个时候不只是一个蓝屏能结束的事情了。

黑哥尔告诉我们“脱离对象不管谈什么都是不科学的”，所以我们能做的基本就是关注相对自己在链上的位置跟自己临近的上下游对象，作为“供应链”中处于“最下游”的最终使用的客户来说，很多时候都只能被动接受各种上游来的各种不确定因素而最终为其买单！我把供应链相对上游的这些不确定因素统称为“官（供）方不可信”理论（2015年《Web应用安全之殇》）

教员告诉我们“与其被动挨打，不如主动出击”，既然“官（供）方不可信”，那么我们可以主动做点什么，在很多年前之前给出的一个方案核心在于“监控”，这个就涉及到好奇宝宝的第三个问题“一只蝴蝶要引发一场全球风暴我们能预防或阻止吗？”范畴了，也就是我们需要主动去“监控”这些“供应链”上游的最终到客户手上的“更新”等供应，监控包括“完整性”、“稳定性”、“安全性”等，当然你在做到“监控”之前必须梳理掌握好你网络使用了多少个供应链，这个问题也是一个非常有挑战性的问题

当然很多时候可以去“监”，但是要做到“控”，有的时候还是得依赖“供”方，比如就拿自动升级来说，很多时候客户没办法主动控制，这个时候可能需要加强跟供方协同合作（知道创宇提供创宇铁卫MSS服务，也就是创宇的人拿着创宇设备直接去客户现场继续贴身服务，有兴趣可以联系我们）

控制“蝴蝶”

我觉得这个好奇宝宝大概率是“疯掉”了，居然会想到“有人能主动控制这些蝴蝶吗？”这个问题，反正是好奇宝宝，胡思乱想下也没有太大的坏处，在2024年黑哥尔公众号开篇文章告诉我们“漏洞与数据是网络安全的两大基石”，漏洞实际上最终的目的是获取数据的控制权，但是为什么会单独与数据一起相提并论呢？只是因为漏洞是一个变数，这句话跟“科技是第一生产力”是一个道理，漏洞科技也具备这一点可以颠覆一些认知的存在。

然而上面我们提到了黑哥尔说的“脱离对象不管谈什么都是不科学的”，“漏洞”实际上也是要看对象的，而这些对象其实就是资产，资产就有归属权、控制权问题。

（2014年《你能控制什么？》）

按这个逻辑，好奇宝宝有个大胆的推断：“美帝实际上是不是不需要被动挖掘漏洞了，而是可以按需生产漏洞了”，也就是按需控制“蝴蝶”，好奇宝宝瞬间有点“细思恐极”的画面感 ...

在CrowdStrike事件发生后，推特上有个哥们主动站出来说他为本次事件负责，当然事后这哥们是估计是在玩”剧本“，但是好奇宝宝想到的是，不管这个人的真假，可以确定的是这次CrowdStrike事件导致的bug肯定是开发人员写出来的，所以在这些资产背后都是我们开发人员、安全研究人员，而“有人的地方就有江湖”，控制了这些人，也就控制了“蝴蝶”，好吧 好奇宝宝到这里又有点晕乎乎了

知己知彼

好奇宝宝因为过度的奇思妙想，导致不由的后背发凉，浑身冒汗，在脑海里冒出了个“我x，美帝也太强大”吧，美帝在不断完善自己本身的“自主可控”，还能顺带把其他啥欧洲、澳大利亚、印度等啥的也一起“控”了，由此好奇宝宝又不经想起了前面针对我国的各种企业的“蜜汁打压”，比如华为、海外版抖音等，而在网络安全领域里把知道创宇、360等企业列入制裁名单等。

美帝这是把“知己知彼”玩到了一定境界了...

自主可控

在资源把控的角度上来看国家加强国产化替代，充分实现自主可控是有非常重大的战略意义的，当然这个策略在具体落实还是有很多值得思考的问题的，首先就上上面提到的那些，“自主可控”是解决不了“砸脚”的问题的，这点上可以让我想到本次CrowdStrike事件后美国电视台采访了Tenable的CEO，这个CEO提到了一个“多样性”的词，先不说他说这次是不是有点“酸酸”的味道，这里实际上涉及到一个“中心化”与“去中心化”的问题是思考（这个问题以后有机会细说），也就是说如果不是CrowdStrike一家独大，一家出了点bug也不致于影响这么大，实际上这个是“选择性”问题，所以在这个角度上说，我们如果只是简单理解“自主可控”、“产化替代”还是相对被动的，我个人觉得国家需要更加鼓励大家让更多的优秀的“国产自主可控”的项目走向世界，让全世界的人民有在网络数字空间拥有更多的自我选择权才是大国追求！

其次我想要说的是“自主可控”解决不了“漏洞”这种带来不可控的变数，黑哥尔说“安全是业务的一个属性”，实际上安全也是经常被忽视的那个属性，一旦要“自主”必然会出现很多忽视安全建设的这种情况，所以我们的自主可控一定是建立在强大的安全建设的基础上的，但是实际上通过我们实战测试目前大部分的国产化项目在安全建设是“一言难尽”,好不夸张的说没有充分安全建设的“自主”项目，很可能成为不会好意势力控制的那只坏“蝴蝶”！

很显然我们在“自主”这条路上是非常艰难的，不提安全就提可用性这个角度，我们国产的很多项目都很难有竞争力，更不用提生态问题了！就个人理解来说所谓“自主可控”，是不是可以分开来看，“自主”的目的是为了“可控”，那么当我们没办法“自主”，能不能做到相对“可控”呢？上面我们已经提到企业用户的做法可以“监控”，实际上在国家层面也有不少类似道理案例。

结尾

人不能吃太多了，吃多了容易胡思乱想，愿世界和平！