7月19日我写了一篇文章【蓝屏?盗版Windows系统和网络隔离拯救了中国用户】,为什么要以这个标题来命名说一下我的想法,我的第一想法就是CrowdStrike安全软件就是个背锅侠,只要微软一发声,它是有理也说不清,谁叫你住在别人家,吃喝拉撒都是别人的,人在屋檐下,不得不低头,这就是操作系统与软件的关系,只要哪天操作系统不高兴,想怎么干你就怎么干你,你连反击的余地都没有,连道理都没法讲的,就是这么个理,为什么我一直强调芯片和操作系统的重要性。当时写了这篇文章之后,有网友不断在后台diss我,一直强调不是微软的事情,是装了CrowdStrike安全软件导致的蓝屏,全听信微软一面之词。下面我从两个方向来展开谈,一个是为什么不可能是CrowdStrike,一个是为什么中国没有出现大范围的蓝屏事件。
一、为什么不可能是CrowdStrike?
CrowdStrike是美国主要的云、终端安全厂商之一,成立于2011年,是全球最大的网络安全上市公司之一,2024年6月市值一度接近千亿美元。其开发的云本地端点保护平台CrowdStrike Falcon,开启了多租户、云原生、智能安全解决方案的先河,结合了下一代杀毒软件、威胁情报、端点检测和响应(EDR)、设备控制、威胁情报搜索和IT安全运营、事件响应和主动服务,主要是为企业和个人用户提供saas方式的安全服务。这次微软蓝屏事件影响全球近千万终端,涉及民航、铁路、酒店、娱乐、旅游等多个行业,就是一个黑天鹅事件,涉及面之广、影响之深。虽然报道是CrowdStrike安全软件造成的,但是我始终认为这不是一个孤立事件,如果你是从事过开发、测试及产品工作的,那应当清楚针对这种提供全球服务的厂商来说,更新这个事情也很谨慎的,不是随随便便就升级的。
讲讲国外企业和用户购买CrowdStrike的情况,国外的大部分企业没有做内外网隔离,全部直接暴露在互联网上接收安全厂商服务,CrowdStrike云平台安全服务也不区分是企业用户还是个人业务,全部共用一个saas化平台。作为一个安全公司,一般情况下会很少升级杀毒引擎,特别是引擎的驱动文件,是一种特殊的驱动程序,运行在操作系统的内核层中,可以访问操作系统的底层硬件和系统资源,可以监控硬件、系统进程等的调用情况。对于操作系统来说,CrowdStrike安全软件具备了很高的系统调用权限,其实这是操作系统不愿看到的。微软对大家来说,最熟悉的就是认为其是一家操作系统公司,其实微软也是一家网络安全公司,从操作系统层面去做安全是很容易的,微软和CrowdStrike其实是商业竞争对手,CrowdStrike的安全业务在上个月已经超越了微软的安全业务,当小弟的时候没人在意你,但是你要当大哥的时候,大哥也不会让你好过,微软肯定是不愿意看到CrowdStrike太嚣张了,得给点教训。如果大家接触计算机比较早的话,应当知道莲花公司的Lotus 1-2-3软件,当年也是殿堂级的电子表格产品,早期在IBM及其兼容机上得到了广泛应用,后面随着微软操作系统在个人计算机上普及,微软也有自己的offlce办公软件,Lotus 1-2-3在微软操作系统上的兼容性和稳定性无法满足个人电脑用户的使用,逐步退出了历史舞台,直到2013年停止销售,个中原由我们不得而知。操作系统掌握着任何软件的生杀大权,本作者也曾是杀毒公司一员,也曾经遇到过类似的问题。
如果非要说是CrowdStrike软件造成的问题,我不能苟同,作为杀毒软件或终端安全产品,一般是属于C/S架构,就是在终端上有一个插件,再有一个服务端平台,拿杀毒为例,终端上装杀毒软件,一般主要更新本地病毒库,杀毒引擎是很少更新,杀毒软件功能更新是经常会存在,现在主要杀毒方式是本地查杀和云查杀结合模式。作为安全公司,升级不会这么草率,也不会一下让千万终端出现问题。现在讲讲流程,做软件开发出身的大家都知道,软件开发完成之后,有单元测试、集成测试、系统测试、验收测试、黑盒测试、白盒测试、灰盒测试等,是基于测试用例,有一套严格的流程,所有操作系统的版本是都需要覆盖到的,基本上覆盖到用户的真实场景,特别是这种杀毒引擎的驱动程序文件,更不可能随便测试一下,话说回来,即使测试没有测试问题,那在升级过程中,也会逐步发现,不会一下同时造成千万规模的影响。升级的时候一般会采用灰度升级方式,就是分时间、分区域、分终端进行小范围推送升级更新,好比公测那样,有一定的时间周期,没有客户反馈问题之后,再逐步进行扩大范围升级,这些都是标准化的流程和规范,这个过程短则一个月,多则三个月到半年。大家会说CrowdStrike安全公司不严谨,作为全球知名网络安全公司,它都不严谨,我想也没几个严谨了,你说国内的安全公司不严谨,我倒还相信。网上盛传说是一个刚入职的小哥哥写的一行代码导致的,大家当笑话听可以但是千万别当真,一个刚入职的员工根本接触不到核心代码,这种安全公司哪怕你三到五年都接触不到的,并且都是专人负责,因为杀毒引擎内核驱动文件,代码本身改动量非常小,也不会让那么多人接触,所以说网上传的这个事情根本不靠谱。
网上还有一种说法是某黑客组织安排人员入职CrowdStrike公司进行攻击链攻击,正面突破不行,就像马奇诺防线一样,只能迂回攻击了,通过社会工程学的方式,通过招聘入职进入,然后一步一步做到公司高管,掌握内核驱动代码修改权限,以供应链方式进行攻击,这尼玛真是卧薪尝胆,忍辱负重呀,简直是脑洞大开,这是社会工程学和供应链攻击结合的经典案例呀!能这样想也能理解,毕竟有过先例,比较著名的是“太阳风”事件,据说是俄罗斯黑客派人打入了SolarWinds(太阳风)公司,因无法从正面突破,通过通过社会工程学攻击,该员工从普通员工做到一定级别的主管,具备了核心代码更改的权限,给某个安全工具制造了一个更新漏洞,然后通过这个漏洞采取供应链攻击,导致多个政府机构和公司遭到攻击,甚至连FireEye(火眼)公司也未能幸免,窃取它们的红队工具,用这些工具渗透进FireEye公司内部。那我们也可以大胆脑洞一下,这次微软蓝屏事件是不是有可能是一次网络战攻击了,某国的网络空间部队无法通过正面攻击微软,寻找微软操作系统的漏洞,那就通过微软操作系统上安装的软件进行攻击,但是一般软件又不能深入操作系统的内核,那就只能通过安全软件进入,像安全公司本身是做安全的,各种安全防护措施比较到位,基本上无法找到漏洞,没有突破口呀,那就只能采用社会工程学攻击手段,通过收集安全公司的招聘信息,安排人员进入这家公司面试,然后凭借自己的专业技术晋升为公司的主管甚至高管,从而在代码上做手脚预留漏洞,躲避测试等方法实施供应链攻击,这是一种非常高明的攻击手段,要能忍能熬能干,我总结为建鱼池、撒网、捞鱼,将游击战转变为长期的阵地战模式。
二、为什么中国没有出现蓝屏事件?
上篇文章中我提到的windows盗版,是想说明普通用户基本上用的盗版,基本上没有更新微软系统或者有的关闭了自动更新,同时盗版系统自动更新也会经常报错。提到的网络隔离,是想说明国内所有国外软件都没有和国外厂商的服务器直接相联,比如苹果的icloud服务商就由云上贵州公司运营,微软在中国的数据中心主要由世纪互联运营,外国公司想在中国做生意,是需要在我国建立数据中心的,我国会对这些出入境数据进行严格监管。
中国的重要行业和单位,像民航、铁路、公路、金融、电力、政府等都会有多张网,有互联网和多个内部网,网络之间会有严格的管控和隔离,哪些业务放在互联网上,哪些业务放在内网上。如果要部署这些安全软件,也是要在内网搭个服务端,终端电脑上装客户端,如果终端上安全软件需要升级,也是由外部导入服务端,导入导出都会严格管控的,再由服务端推送,不能联网的尽量不会直联互联网的。
国外就不一样了,尤其像美国,很多业务是直接在互联网上,包括什么民航、能源、政府等都是通过互联网进行工作,面临的网络攻击风险很高,虽然说建设成本节约了,但是安全成本增加了,因此经常会听到这个民航系统被攻击了,那个供水公司被攻击了。像CrowdStrike安全公司是以saas为主的安全平台,对企业和个人用户完全一样,都是通过互联网进行服务,每个终端上安装猎鹰(Falcon),企业和用户不用部署服务端,都是通过saas化服务,节约了企业和服务的前期成本,直接按年收费,整个商业模式和我国不一样,这也是为什么我国网络安全行业体量不大,因为一次性把钱都收了,无法做到持续营收。
我们的网络安全技术和美国肯定是不能比的,美国一直是网络安全强国,他们的网络安全理念是进攻就是最好的防守,他们的供应链占据着全球每个角落,想攻击各个国家网络和基础设施易如反掌,但是他们低估了中国人民的智慧,低估了毛主席军事思想的指导。我们和美国现在的局面是你中有我,我中有你的关系,他们需要中国14亿人口的市场,有很深的经济利益关系,但是我们不会任由他们摆布,与美国相比,我们在各个层面当下还处于明显劣势,我们要做好积极防御策略,抵制消极防御策略,那我们就只能通过广修墙、多筑网、严监管、强封闭等方式作为短期阶段性策略,通过这种符合中国当下国情,以不对称的方式来保护我们国家网络空间安全。我们国家的网络建设是分层分区建设思想,在毛泽东选集第二卷《抗日游击战争的战略问题》中第四章中提到“游击战争的领导者对于使用游击队,好像渔人打网一样,要散得开,又要收得拢。当渔人把网散开时,要看清水的深浅、流的速度和那里有无障碍,游击队分散使用时,也须注意不要因情况不明、行动错误而受损失。渔人为了收得拢,就要握住网的绳头,使用部队也要保持通讯联络,并保持相当主力在自己手中。打鱼要时常变换地点,游击队也要时常变换位置。分散、集中和变换,是游击战争灵活使用兵力的三个方法”。这和我们说的分区分层网络建设思想异曲同工,将敌人进攻时,我将网络划整为零,让敌人摸不到头脑,如果要保证战术执行到位,那就需要每个指战员和士兵认真执行战术动作。
三、总结
总而言之,网络战离我们并不遥远,供应链攻击是网络战中常用的手段,只有坚持信创,发展自主的芯片、操作系统、数据库、中间件等,加强数据的出入境管理,长期进行实兵备战和攻防演练,将情报工作前置,最好的防守就是进攻,在网络空间中建立无数的据点和阵地,未雨绸缪,不打无准备之战,一旦危机到来,才能不怕来犯之敌,才能真正应对未来有可能发生的网络战。