CrowdStrike绝非弱鸡，它在美国反华背景下成长壮大！这次出事对我们有特殊警醒

► 文 观察者网心智观察所

“蓝屏事件”突然爆发后，引起全球震动，更深刻的警醒和反思仍在持续之中。心智观察所就此次大规模蓝屏事件背后的发生机制，国产操作系统自主可控等一系列问题，和安天董事长、首席技术架构师肖新光先生进行了深入交流和对话。

心智观察所：CrowdStrike是一家什么样背景的企业，是怎么实现快速崛起，在全球拥有庞大装机规模的？

肖新光：CrowdStrike是一家以云和终端计算环境为主要防护目标场景、以威胁检测对抗为基础能力、以主机系统侧安全为产品形态、以安全托管服务为先进运行模式的企业。综合来看，CrowdStrike的崛起是自身进取、IT发展趋势、资本布局和美国政府旋转门运作的综合结果：

1）CrowdStrike在技术结构设计、运行理念和技术能力上的先进性是根本内因。CrowdStrike的创业者曾在BigAV（注：即超级杀毒软件企业，是业内对卡巴斯基、赛门铁克、迈克菲这批老牌杀毒企业的统称）反病毒体系中经历了多年的浸润和搏杀，深度理解主机系统安全的运行机制和威胁对抗的基础逻辑，同时又精确把握了先进计算架构的安全需求，把握了安全基石回归主机系统和工作负载的机遇窗口，前瞻性地选择了以安全托管订阅为核心运行模式的企业运行方式。其安全能力侧聚焦主机场景，构建了下一代杀毒、智能主防和检测响应、外设管控、主机防火墙四大关键能力，并依托情报和恶意代码分析能力作为服务延展，强化综合安全运营能力，技术规划和演进路径非常清晰，在威胁对抗中响应敏捷。这些都成为其崛起的内因；

2）先进计算环境的安全需求和系统侧安全的回归为CrowdStrike的崛起提供了历史机遇。在过去20年间，计算结构发生的一个重大变化是资产体系由原有的IDC服务器-终端体系进入了以云计算为主导的先进计算结构，虚拟化、容器等新的工作负载承载形式不断迭代。应对新兴计算场景的安全需求，没有BigAV时代的系统侧安全底蕴则难以承载，但简单地套用传统杀毒软件的模式并不足以应对需求。与此同时，在资产云化、泛在接入、通讯协议普遍加密的背景下，以防火墙等网关设备为代表的安全边界的价值全面衰减，安全的基础基石重回主机和工作负载一侧，安全预算的结构也发生变化；加之美国整个的IT基础场景相对集约化，提供了相对统一、集约的运行环境和场景，使CrowdStrike可以将研发资源聚焦在先进产品架构、威胁感知捕获、威胁检测猎杀和运行模式等价值主闭环上，加之硅谷本身包容创新的基本环境，这是其崛起的客观条件；

3）CrowdStrike的崛起离不开美国产业和金融资本的全力助推。在美国网络空间安全的产业体系演进过程中，在个人计算革命的周期中，诞生了赛门铁克、迈克菲、趋势等为代表的面向端点的老牌杀毒企业；在信息高速公路建设的周期中，兴起了Netscreen、Fortinet、PaloAltoNetworks等网关侧的创业明星，系统侧和网关侧，形成了安全基础能力的两大阵营。在计算结构发生变化、威胁形势快速演进的背景下，老牌杀毒企业开始表现出技术架构落后、威胁响应的敏感性和锐度下降的问题，而网关侧企业又很难在短时间内快速弥补系统侧安全基因的缺失，无论是大场景需求，还是产业能力完善、资本概念的需求，都迫切需要打造出一个具有新锐性的系统侧安全明星企业，在此过程中Bit9、Cylance、CarbonBlack也一度被资本追捧，但最终是由CrowdStrike夺得头筹。这一结果离不开强有力的资本持续助力。作为CrowdStrike主要投资者的华平资本时任董事长曾担任美国财政部部长，也是著名的反华政客。

产业和金融资本一直是美国全球产业竞争的超级后援团。例如在上世纪反病毒产品的最初竞争格局中，美国企业产品能力并不在最高水平，欧洲军团才是产品能力（特别是检测能力）的翘楚。在这个过程中，美国通过垄断资本的利益逐渐化解了欧洲的安全产品体系，如：在资本操盘下，由迈克菲收购了当时欧洲最大的反病毒企业DrSoloman。后来英国代表性的安全企业Sophos也被美国产业资本并购。

4）CrowdStrike的崛起亦有美国政商旋转门的背景，与美国全球霸权布局高度相关。CrowdStrike有鲜明的旋转门企业特点，其创业团队成员和多位高管都有美国情报机构任职履历，在其发展中，通过多次炮制抹黑中国的技术报告，为美国军方和情报机构交上了“投名状”，而美国政府也“投桃报李”，将CrowdStrike列为其在“向前防御”战略和对外产品输出的一个重点层次，帮助其在国际市场快速崛起。

5）CrowdStrike没有出现有力的国际挑战竞争者，也与美政府直接打压国际竞争者相关。

在商业竞争中，美政府相关部门反复下场打压其主要国际竞争者已经屡见不鲜。特别是对中俄厂商的干扰打压尤为突出。

美情报机构NSA从2010年制定的“拱形计划”（CamberDaDa），陆续圈定了重点关注的全球23家可能发现和影响其情报活动的网络安全企业，其中约70%的企业在欧洲（17家），26%的企业在亚洲（6家），但没有任何一家美国及“五眼联盟”国家的网络安全企业上榜。

这个计划最重要针对目标就是俄罗斯著名安全厂商卡巴斯基。卡巴斯基历史悠久，技术长期领先，国际业务规模较大，品牌知名度很高。2017年，美国国土安全部就以国家安全为由，发布指令要求“从所有联邦信息系统中删除和停止使用卡巴斯基产品”；今年6月20日，美国商务部工业和安全局(BIS)宣布全面禁止卡巴斯基实验室及其所有附属公司、子公司和母公司在美国提供任何产品或服务，该禁令已于7月20日起正式生效。

我所工作的安天也对这种打压干扰有深刻的体会。安天是上榜CamberDaDa计划中的唯一中国厂商，受此影响，我们在2013年之后只能逐步停止了对美国安全企业的引擎授权业务。另外，因长期分析美方情报机构的攻击活动，2022年我司被美国国会有关“中国网络安全能力”听证会报告点名，致使我们进一步失去了相关亚洲国家市场。

心智观察所：据分析，发生蓝屏的主要功能模块CSAgent.sys带有CrowdStrike和微软的双重数字签名。微软第一时间撇清关系，包括网络安全和基础设施安全局主管也站出来给微软站台。怎么理解CrowdStrike和微软在这次事件中各自应该承担的责任？

肖新光：安天在《CrowdStrike导致大规模系统崩溃事件的技术分析》这篇报告中对本次蓝屏事件进行了详细分析，问题发生的机理是：CrowdStrike主防的核心驱动CSAgent.sys的模块在读取、解析相关的配置策略文件时发生异常，进而导致Windows系统蓝屏崩溃且重启后继续蓝屏的严重后果。这与CrowdStrike公布的原因是一致的。CSAgent.sys之所以带有CrowdStrike和微软文件双签，主要来自微软对Windows的强制性内核模块和驱动的签名需求。通常来看，软件应用都可以去各个机构申请软件证书，以形成可信认证链，验证软件模块与发布侧的一致性，对抗攻击者对产品的篡改。但如果出现大量的攻击者申请证书或入侵软件开发者系统，窃取签名证书，签发恶意代码的情况，这些恶意程序可以作为有签名的驱动和内核模块来加载。针对此，微软形成了一套自身的证书签发管理机制。强制要求驱动和内核模块同时需要微软的签名才能在引导链上加载。这可以视为一个“双保险”机制。

但这个机制核心解决的还是确保引导链加载的均为可信对象，但并不能解决签名驱动本身的稳定性、可靠性和安全性问题。客观来说，就本次事件而言，微软的责任较小，主要责任应当由CrowdStrike承担。

心智观察所：如果模块的稳定性对系统内核会有直接影响，Windows将有关权限外放给网络安全产品是否明智？相较于MacOS等竞品，Windows引发蓝屏保护的情况较为频繁，一直被用户诟病，怎么理解这种情况？

肖新光：微软和苹果在运营模式上有巨大差异。微软崛起，源于上世纪80年代由IBM确定了IBM-PC的体系结构，形成了由英特尔提供X86架构的CPU、微软提供操作系统、IBM输出PC主机标准的这样一套框架，使个人计算革命走入了大生态支撑的加速运动。这一背景决定了从MS-DOS到Windows系统采取的运行方式是广泛兼容各种硬外设件、支撑开放式软件生态。驱动底层接口不仅仅是为安全厂商开放，而是要支持大量板卡、外设硬件，因此必须开放相关的驱动标准。

而MacOS的硬件选型是在一个相对封闭的供应链体系结构内进行的，其CPU、板卡、显卡、包括屏幕外设等都是基于严格的自我供给或致密合作的供应链体系，其硬件扩展整体上是在外设层面，而不是板卡层面，其软件应用也是基于单一的软件市场AppleStore来进行闭环运营的。苹果系统本身要承载的硬件兼容性和软件稳定性压力都相对较小。AppleStore是苹果系统获取应用的主要来源渠道，因此形成了较强的源管控，这一机制降低了苹果用户下载和运行恶意代码的概率（当然，在历史上AppleStore被穿透的事件也屡见不鲜）。 

由于Windows的“初始设定”就是允许用户开放式地下载、安装、使用各类应用，这既增加了被攻击的风险，也使其无法对软件生态进行收敛的品控。因此微软需要的是更强有力的安全生态，而不能抛弃其本身的开放式和硬件兼容的传统优势，来片面地学习苹果的运营经验。微软也有部分的闭合运营生态，但Surface平板并不是Windows用户的主品选择；微软推出了自己的应用商店WindowsStore，但用户的主流习惯依然是从网络下载。本次事件也并不能根本改变微软的运行模式。

要站在这些大的背景下，看待Windows系统和MacOS的稳定性差异。与此同时，这也给我们信创信息系统如何走好供应链和软件生态，提供了两种差异化参考样板。

心智观察所：CrowdStrike包括更早的Palantir等企业，惯于通过炒作中俄威胁博取流量，拉升估值，也深度融入美国情报界，根据您的观察，这些企业除了防御之外，是否也是美国赛博战各类APT的幕后供应商？

肖新光：目前没有证据可以作这样的判断。从美国网络安全产业机构来看，其有对应的分工模式。为美国情报机构供给攻击能力、甚至直接下场作业的厂商，多为情报承包商或军工承包商，而像CrowdStrike这样的资本宠儿，其能力输出主要还是在防御侧。虽然CrowdStrike在支撑美国网空霸权的过程中，频繁地交纳抹黑他国的网络安全问题的报告，作为“投名状”，但从利益立场来讲，其背后的资本还是需要强化其作为国际化产品企设，对资本利益来说，需要这些产品来构建面向全球用户的信任。从美国情报机构来看，其产品的广泛分布，本身就构成了广泛的感知价值，让这些企业参与攻击作业或能力供给，是得不偿失的。

但与此同时，我们必须警惕，由于美国情报机构与规模型IT厂商联动的运行模式由来已久，“棱镜”系统的曝光就是铁证，而CrowdStrike采用广泛的托管运行模式，可以说是基于深度采集用户信息、汇聚到自身服务器上，来达到运行效果，这些数据很有可能在美国情报机构窥视的范围之内。同时，在美军推动“向前防御”的战略过程中，相关的安全产品本身也具有了军事装备的属性，其所进行的安全托管，虽以“加强盟友防御并提高共享网络免受网络威胁的弹性”为说辞，但实际上采取云化、托管等运行模式，实际让美方掌握了“盟友信息系统”的操作及防御能力，获得了关键信息系统的掌控权。

同时，其感知能力对0day漏洞利用的发现，其研究能力对新的漏洞挖掘，有可能会进入到美国情报机构的NOBUS（nobodybutus,没有人能利用漏洞除了美国自己）的体系中，成为美国情报机构作业，或者赋能给其盟友的资源。

此外，部分美国安全企业为美国政府、军方客户提供专属性的能力输出或者运营加强，例如美国反病毒企业迈克菲就专门为美国政府提供GovernmentSignature（政府客户专属检测规则），从而使美政府或军方拥有比民品更强的差异化防护能力。

心智观察所：CrowdStrike是美国主要的云、终端安全厂商之一，是云原生网络安全的主要推手之一。这个事情让我们认识到主机系统侧安全能力建设的重要性。在公有云虚拟机时代，我国目前的在网络安全的自主化可控程度如何？国内政企机构目前Windows主机用户的比重大概是多少？目前哪些安全产品在国内政企机构中占据主流？这次事件对中国网络安全自主可控的进程会产生怎样的影响？

肖新光：本事件充分说明了：网络安全产品和技术的自立自强具有重大意义，它的重要性不亚于（甚至在某些场景下超过了）基础信息产品和技术的自主性的重要性。基础信息产品的自立自强价值在于，不仅能在脱钩、断供、“卡脖子”的情况下，依然能继续支撑数字化转型发展，在我们产品具有特点和先进性的时候更可以进入国际市场竞争。而网络安全的自立自强价值在于无论我们运行着何种信息系统，我们都拥有自己的安全屏障。尽管我们在不同安全产品的技术能力上存在着参差不齐的情况，但我们整体的产品能力谱系是完整的，没有基础缺门，能够满足安全的基础要求，这是我们实现数字化转型发展的重要保障基础。我们更能以自主安全能力为第三世界国家和友好国家提供安全保障。

长期以来，国内在网络安全产品的采购过程中，相对更愿意去堆砌盒子，加上互联网免费安全模式带来的影响，使得以软件为形态的、主机终端侧的安全产品长期未受到应有的重视。但随着资产云化、泛在接入和加密流量的普遍使用，传统边界衰减失效已经成为必然，系统侧安全基石作用的回归效应越来越明显。本次事件更让我们意识到，主机系统安全能力的重要性，CrowdStrike所展示的恶意代码（病毒）检测防护、内核级主动防御、分布式主机防火墙和威胁阻断、外设和硬件管控等模块化能力，也成为了我们很好的能力对标物。我们需要打造与之比肩、甚至超越的系统安全能力。这次事件进一步地让我们看到安全产品的本质是软件，而非载体设备。安全软件的灵魂是能力迭代，而不是软件功能。安全产品的自身可控，本质上是安全基础能力、模块、算法的自主性，而不是简单的载体的自主性。聚焦于防御有效性、保持威胁对抗的敏捷迭代，与此同时，做好安全产品本身的安全性、稳定性及可靠性。

从国内需求场景来看，Windows系统虽然在国内政企机构中的使用占比在不断下降，但在一般的企业和个人用户中仍然是绝对主流。与此同时，国内终端信创主机占比不断提升。公有云已经成为较为成熟的产业，而私有云、混合云也处在新的建设热潮中。国内系统侧需求场景复杂，防御战线较长。供给侧则处在百花齐放的状态中，有多家厂商都有一定的自身特色，但还未产生领域的终局赢家。

心智观察所：在您看来数据驱动的AI大模型技术会对网络安全领域乃至云计算技术栈带来怎样影响，公司在这方面是否已有实践？

肖新光：以AI大模型为代表的智能技术，对网络安全带来了三个需要关注的问题：一是大模型技术本身的安全性问题，二是大模型基础设施成为新的攻击目标和场景，三是大模型对网络攻击的赋能和加速问题。根据这几年的观察，我感觉国内的一定程度上过度关注AI大模型本身的安全问题，但对于后两者的关注、研究和投入是不够的。

其实新技术带来的最突出风险，往往都是其对现有风险的快速赋能与加速。大模型对网络攻击的助力作用极为明显，可以在知情侦察、脚本增强、辅助开发、社工活动、漏洞研究、有效负载生成、异常检测规避、安全功能绕过、资源开发等阶段，提供全生命周期完整赋能，能够对攻击杀伤链的侦察追踪、武器构建、载荷投递、漏洞利用、安装植入、持续控制、目标达成的全过程起到助力作用，导致攻击自动化能力的快速提升、攻击成本的快速下降，这一趋势本身更值得重视。

同时，扼制新技术风险的关键，往往就在于技术本身。例如互联网技术带来了威胁的快速流动，但同时也带来了安全能力的快速部署和敏捷响应；云计算带来了针对其体系的攻击从而导致整体崩溃的重大风险，但这种体系特点强化安全后，也能够形成高度弹性的防御体系结构；大模型和AI能够为攻击赋能，当然也能为提升防御能力赋能。其不仅能改善检测、识别等防御能力的效果，更能有效辅助海量执行体（恶意代码）分析、流量缓存分析多源日志（事件）分析、暴露（攻击）面分析、用户与实体分析，提升多源情报汇聚整合的效果，对全局策略（基线）编排、全局决策、响应编排、综合风险分析收敛提供积极的价值。

云是一个弹性算力体系，云的体系结构先天是大模型平台的基础。大模型既需要大量的GPU算力支撑，也有很多计算任务可以由CPU来分流和承载，例如微软的云算力在一半的时间都分配给OpenAI来使用。

安天在很早就形成了依靠规模算力体系和工程师团队经验迭代运行的技术底座。我们的赛博超脑体系，已经累计百亿计样本（含白）的向量分析，目前每日样本增量超过200万。我们在去年尝试应用开源模型但调试效果不佳的情况下，自主研发了VILLM威胁分析大模型。我们重点放在加强执行体样本的分析和同源性检测，强化特征工程建设的收敛工程目标，，聚焦以二进制执行体样本为对象，以突破token和上下文场地限制作为主要突破方向，取得了较快的进展。后续，我们也在探索VILLM的其他应用场景，以期实现其对防御体系的综合赋能。

心智观察所：因为杀毒软件导致大规模蓝屏死机的情况之前还有过，比如2010年4月迈克菲误杀系统文件，造成数十万电脑死机。盘点这些杀毒软件因更新的病毒定义文件导致的蓝屏问题，会发现其中的共性是往往会发生在周五。之前上扬软件的CEO在接受访谈说，他们总结出来的经验教训就是不要在周五给客户更新软件。如何解读此类事件的“周五魔咒”？

肖新光：安全软件导致系统不稳定甚至蓝屏，可能的原因很多，比较典型的包括：1）安全软件本身出现误报、误杀，清除了关键系统文件、关键的应用驱动，从而导致系统崩溃；2）安全软件因自身机理问题，导致系统死锁或崩溃；3）安全软件在与威胁的对抗过程中，遭到针对性攻击，或者与攻击样本的内存对决等影响了系统稳定；4）安全软件需要大量使用底层驱动和钩子，可能与其他软件发生冲突，特别是当两种以上的主机安全产品在同一主机共存时，这种情况更易发生。

以上几种情况的发生概率和约束方法都是不一样的。关于误报误杀问题，过去发生过的此类安全事件包括：2005年，趋势（TrendMicro）的企业杀毒软件Officescan和VirusBuster因接收并使用了包含问题的升级文件导致系统故障，波及650多家公司；2007年，赛门铁克的诺顿杀毒软件误杀简体中文版WindowsXP系统的动态链接库导致系统蓝屏，国内有约五万台电脑受到了影响；2010年，迈克菲的反病毒软件VirusScan误杀WindowsXP的系统文件，引起全球数百万台电脑崩溃，这几起事件都是由误报导致。目前主流的安全厂商，通过充分有效的海量白名单的持续积累和误报测试，已经形成了较好的误报测试能力，微软的开发者支持计划也能够帮助安全厂商比较完整地获取微软的系统和DLL文件。同时在检测中，辅以签名验证技术，可以比较有效地降低反病毒软件的误杀、误报。

安全软件的升级，分为功能性升级和能力型升级两种。功能性升级和一般的应用软件没有本质差别；能力性升级则涉及到比较多的能力点，包括恶意代码检测、漏洞检测、补丁升级、配置策略和基线管理、行为检测和主动防御等。这些机制已经比较好的归一化为特征库升级，比如恶意代码检测，主要是依靠特征库的持续升级。恶意代码检测规则更新是安全能力的最基本面，升级也最为频繁。我们出于品控考虑，将病毒库的升级频率从每小时一次降到每日十次，但这已经是底线，如再降低，则无法再有效防范恶意代码。不过，恶意代码检测是线性代价的，相应的模块升级对系统可靠性稳定性的影响较低。只要不发生严重误报、误杀，或者遭遇攻击者构造的特定样本攻击，通常不会产生蓝屏级别的故障。容易对系统稳定性和可靠性带来影响的，主要是主防机制、热补丁、特定的Rootkit或者顽固感染病毒的查杀，而Rootkit或者感染式病毒的查杀这两种情况，都是在用户已经被植入或感染的时候才会发生的，但主防防御机制要保证防御效果，就必须依赖于系统内核驱动和钩子。保证主机驱动的稳定，特别是在主防相关模块的更新时保证其稳定，这是主机防护最关键的质量命题。

计算机病毒和攻击者是不过周末的，在了解安全软件的机理之后就会发现，所谓的“星期五魔咒”导致周五不更新是胡扯的。安全软件的安全能力日常更新其实随时都在进行。当然运营工作是有周期性的，周末用户侧的IT和安全响应人员往往休假不在岗位，安全厂商本身值守人员也比工作日少。如果出现安全事故，确实存在响应人员不足的情况。但著名的魔窟勒索蠕虫大爆发事件，也因为当时是周五，还有大量节点未开机，所以逃过一劫。而安全业界就是依靠周五傍晚紧急启动，快速奋战快速发布免疫、专杀，包括周一开机指南，才有效减少了蠕虫受害节点数量。总之，所有问题都要科学严谨、具体问题具体分析，不能不负责任地给出“玄学”风格的论述。

安全产品需要在快速响应机制和其引入的可靠性风险之间做出艰难抉择：在应对重大突发威胁、0day漏洞在野线索、漏洞成熟PoC突然出现等情况时，是快速分发能力、实现快速处置，还是进行充分的稳定测试后再发布？前者保障了响应时效，但有可能引发可靠性、稳定性方面的问题；后者虽然控制了稳定性风险，但有可能导致失去战机，延长了用户暴露在威胁中的时间窗口，增加陷落风险。对每一个能力型安全企业都是一个充满风险的选择题。

安全软件要考虑的不只是稳定性和能力的平衡，更是在品控约束下如何跑赢攻击活动和威胁的演化。

心智观察所：CrowdStrike过去一直抹黑中国，这次重大事故的处理态度也显得傲慢，作为同行，怎么看待CrowdStrike的产品和技术实力？不可否认的是，CrowdStrike在产品研发和运营层面有着超强实力，目前这类企业往往采用ToB端订阅的方式和客户合作，从研发运营角度看，我国同类型企业的机会和挑战有哪些？

肖新光：我对CrowdStrike有着立场反感，但同时也认可其产品和技术方面的实力。但这次事件中CrowdStrike后续的联动处理整体来看是傲慢的和不尽如人意的。比如其恢复信息的发布居然是通过用户登录认证才能看到的一个页面，忽视了受影响的用户主机已经蓝屏停摆，根本不具备登录其网站查看信息的条件；另外，其仅提供了安全模式下进入对应目录，删除特定文件的手工处置方式，却不愿意通过举手之劳封装一个处置工具，导致网管和用户被迫以极其低效的方式逐一处理；对于云租户不具备把主机启动到安全模式下的条件，CrowdStrike在很长时间也没有给出对应的解决方案。而对于受影响最大的、使用了Bitlocker引导卷加密的用户，除了建议用户准备好恢复密钥，也长时间没有给出进一步的辅助方法。

就订阅模式、托管运营这个问题，目前国内信息基础场景较为碎片化，有很多隔离区域和孤岛节点，升级运营代价成本较大，且有很大的合规性的限制。特别是在大量系统和内网是隔离状态的情况下，是不可能开展托管服务的。物理隔离在一定的历史阶段是有效的安全策略，但现在看来，其在阻断一部分威胁的同时，也阻断了系统安全能力的快速分发和协同弹性的响应，当然也为订阅模式、托管运营的安全运行模式带来障碍。数字化基础较好的和先天在网的企业机构，则有可能在订阅模式、托管运营模式中率先获益。

心智观察所：CrowdStrike服务的西方军政机构、大型企业等客户，有着严格的品控要求，为什么还是发生了这次这样严重的质量事故，其中的教训是什么？

肖新光：如前文所说，主防系统一方面需要有效应对安全威胁、快速迭代，另一方面又要充分保证系统的稳定，要实现两者平衡的确非常艰难。但本次CrowdStrike事件依然有许多教训值得吸取。

CrowdStrike团队的能力起点是比较高的，其核心团队成员曾经历过反病毒主机安全时代安全对抗的洗礼，有系统侧的视野和经验传承，研发研究队伍精英云集。但威胁对抗烈度、难度也持续增加，不再是相对容易的遏制非定向感染式病毒传播和蠕虫扩散，而是要面对免杀木马、内存作业、混合执行体攻击等各种载荷，面对0day漏洞利用、社工欺骗掩护、RoP攻击、格式文档溢出等突防方式和战术运用。在云工作负载层面场景也更为复杂，主防的结构体系和规则策略规划方面，无法完全沿袭恶意代码面向载荷的特征库的经验惯性。既要保证防御的有效性、又要使升级具有高度管理性，需要设计参数配置、规则、脚本和模块的复合升级结构，需要有更细粒度的、动态的测试。

CrowdStrike在创业前期可以凭借清晰的软件架构设计、高水平的编码实现、设计巧妙的规则策略结构等，在一定规模的用户基数下，保证稳定性和可靠性；包括可以先突出威胁对抗能力，打出自己有效检测和防护能力的口碑；但在目前千万级装机规模且覆盖复杂场景的情况下，品控的复杂性，已经和创业成长期不可同日而语。出现问题的影响也急剧加大。CrowdStrike在此前作为纳斯达克的“保送生”过于“顺风顺水”，在这种心态下容易萌生对自身体系结构运行设计的盲目自信，过度强调威胁对抗的敏捷性和威胁防御效果，而在稳定性、可靠性等品控方面的投入，与其用户规模当量不相匹配。

从其规则只存续了1小时左右即造成全球超过850万个节点崩溃的事实来看，其这次规则升级是作为一次轻量级的快速广泛分发，较大可能是针对特定威胁的快速响应机制运行。可见其内部并没有建立起能够到达每一次能力敏捷升级的完整流程体系，在升级时没有充分遵守灰度升级的相应原则。这些都是应当吸取的教训。

但与此同时，我们面对这一问题绝不可矫枉过正。目前国内终端系统主要的安全威胁仍是大量的端点系统长期处于低防护、弱防护的状态中。在我们服务或处置的大量安全事件中，我们发现很多政企机构的内部网络依然存在蠕虫泛滥传播、病毒批量感染、宏病毒长期存在的情况，总之，是处在极低的安全运行水平。究其原因，或者是没有安装安全软件；或者是在不能联网的主机上安装了互联网的免费安全客户端，这类免费安全客户端高度依赖云端查询能力，纯本地检测能力较为弱；或者是选择了一些号称有杀毒能力的安全合规品，但其实际检测能力非常低下；或者产品选择没有问题，但处在长期不及时升级的导致能力衰减。这些问题是我们当前更需要首先解决的。

应该说，大面积的安全产品的质量事故，是一个可以通过严格的流程体系进行有效控制的偶发性事件。但如果系统处于防护缺失的状态中，在当前威胁攻击活动和恶意代码传播极为频繁的情况下，其被入侵就成为了一种必然性风险。另外，系统安全软件造成的崩溃后果，基本上是可止损、可恢复的，虽然给用户带来了运行价值的损失，但并不会导致用户资产的流失和外溢；但如果用户不改善防护，就将自己暴露在了攻击风险中，而当前以定向勒索为代表的攻击者采用的是“一鱼多吃”的方式，一方面瘫痪用户的系统，另一方面将用户的数据、信息等资产在网上售卖传播，还会通过威胁公开数据的方式，多重施压勒索财产。其威胁后果，远远高于安全软件带来的偶发性风险代价。因此在这个问题上，绝对不能因噎废食，应在保证产品稳定性、可靠性的前提下，不断提升防护水平和对抗敏捷性，构建起坚固的安全防线。

安全能力和稳定可靠性是辩证统一的，历史是辩证演进发展的，如果在重大灾难事件中只基于片面、单一的视角去总结一方面经验和改善，就一定会使事物走到自己的反面。

心智观察所：对于目前国内市场碎片化格局和低水平内卷，您认为企业可以采取哪些应对战略？

肖新光：网络安全整体的市场运行有其历史惯性。较为成熟的网络安全市场演进通常要走过合规导向、威胁导向和能力导向三个阶段——第一阶段解决有无问题，第二阶段解决能力提升和弹性升级问题，第三阶段解决体系运行问题。我们现在的情况是：需求体系已经初步有了能力引导，但供给体系仍处于第一阶段，总体上表现为以合规品为主导的关系型市场。

网络安全面临的困难挑战，并不完全在于网络安全自身，有很多渊源是源自信息化的。例如：我们在信息化发展建设中，长期处于“重硬件、轻软件”的状况中，导致软件没有议价权，形成了一味堆砌盒子而不提升实质安全防护水平和对抗能力的错误导向。在以防火墙和安全网关为安全赛道主品的时代，这一问题并未凸显，但在安全基石重回系统侧时，这一问题便高度显性化了。

网络安全的碎片化，一定程度上是由信息化的碎片化导致的。由于我们很大比例的信息化场景是碎片化、小生产所产生的，大量低成本、低水平的信息系统成为了极难设防的“沼泽地”。与此同时，在基础信息产品信创的发展初期，需要有一个自由发展和竞争的阶段，这个阶段的信创体系存在多种计算机架构、CPU和操作系统的组合，给网络安全产品带来了适配困扰，特别是使主机安全防护的场景变得高度复杂。这些问题会随着信创的集约化逐步改善。

网络安全领域的特点决定了，系统、刚性、深度的需求无法依靠供给侧主体推动，我国网络安全产业需要一场由需求侧变革驱动的结构性供给侧变革

受全球经济大势、美国综合打压等因素影响，当前我国网络安全产业也进入到了一个艰难调整的阶段，当前中国网络安全企业更关键的任务是活下去，然后才能强起来。但也许这正是危机中的转机所在。当横向灌木生长，通过扩品拉开战线已经不能获得更多有效收益，业内就会反省样样通，必然样样松，专下去，才能强起来。当看到低价中标、恶性竞争只会加速成本耗散，赢家通吃只是不且实际的幻想，觉醒的产业主体就会重新校准自己的定位，重新认识彼此的竞合关系。中国网络安全产业想要实现逆周期发展，就需要回归安全价值的有效性；重新校准和再认知系统安全防护、恶意代码检测等基础能力的价值；深入理解先进计算架构的趋势和安全需求；扎实准备大模型等新技术中孕育的安全危机和技术变革。通过深耕细作和产业协同，实现集体崛起。洞察危机，解析自己，自我革新，走向未来。