2024ITValue-文章详情顶部

深度对话安天王小丰:我们应该从微软“蓝屏”事件学到什么?

国内厂商和CrowdStrike的差距,相比于国外厂商和CrowdStrike的差距更大。

我们赖以生存的数字世界,可能比想象得还要脆弱。

近日,全球范围内的微软Windows用户遭遇了一场前所未有的技术故障。7月19日,全球850万安装了Windows系统的电脑突然显示蓝屏,这一事件并非网络攻击,而是源于美国网络安全公司CrowdStrike的一次错误配置。

从个人电脑到云端业务均受到了影响,银行、机场、电视台、医疗机构、酒店和无数企业的通停滞,造成了全球多地航班停飞、医疗设备瘫痪、金融系统中断等严重后果。

值得注意的是,在此次全球性事件中,中国企业受到的冲击很小。这是由于CrowdStrike早就对中国市场禁售,加之中国企业普遍采用国产安全软件。

但是,这并不意味着中国网络安全行业做得更好,更应该从本次实践中吸取经验和教训,钛媒体App与安天科技集团高级副总裁、安天云安全公司负责人王小丰,就CrowdStrike如何造就本次全球级IT灾难,以及国内外网络安全行业的差异等话题,开展了一次深度对话。

图片系AI生成

图片系AI生成

以下为对话内容,经编辑

钛媒体:微软蓝屏事件和CrowdStrike的关系是怎样的?

王小丰:此次微软蓝屏事件,基本已经确定是CrowdStrike的 “更新”事故导致。当然我们在7月21日分析报告中也指出,尚不能完全排除这是一起供应链攻击的可能性。但毫无疑问,CrowdStrike对这一事故负有不可推卸的责任。

CrowdStrike导致问题的机制,恰恰是它长期引以为豪的亮点特色。

CrowdStrike基于云的安全托管服务和支撑其Falcon产品后面的威胁猎杀工程师,是其核心优势之一,公司名称CrowdStrike(直译为“联合打击”)也部分代表了其理念和商业模式。CrowdStrike的威胁猎杀工程师会根据云平台监测到的线索,比较频繁的更新和分发威胁数据的检测/采集配置规则,所以导致本次事件的更新问题,并不是公众(也包括部分业内人士)误解的“软件更新”,而是我们刚才所说的模块、主防点和相关配置定义的混合升级。

传统的“规则更新”机制,已相对成熟;但动态防御机新的稳定性测试,是当前业内的一个“共性”难点。

由于动态防御机制并不能单纯得像恶意代码检测引擎一样基于大量白名单即可完成,而要面临大量不同的操作系统、硬件配置和软件兼容性环境,因此其难点是 “高标准品控测试,即在测试场景中,能否尽量大规模、自动化、并行和完整地模拟所有产品在部署态面临的用户场景环境” ,否则很有可能在测试过程中完全正常,但在部分客户场景中发生局部异常。但类似CrowdStrike本次在出现了本该可以复现的重大事故,还是说明CrowdSirike高标准的品控测试,有可能不是面向每一次“规则更新“的,或者是紧急更新跳过了完整品控体系。

安全软件的版本级升级更新,业内优秀的安全厂商通常会做比较严格系统的测试;但安全软件的恶意代码(病毒)库、安全基线、策略配置等需要快速更新,这些更新会带来一定的稳定可靠性风险,其运营代价和品控成本会很高。CrowdStrike在Win场景下大量采用内核态主防和采集,这样在能保证威胁检测效果的同时,也对技术实力和质量管理会要求更高。

在业务成长期时,CrowdStrike依赖强悍的安全团队实力、高标准品控压力尚能不大;但业务增长到一定阶段后,“众包”模式叠加用户激增后,高标准品控成本会随之加大。所以,除了对自身技术实力过于自信和傲慢外,不排除“过度追求财务表现,忽视了技术和市场敬畏”,这可能是本次事故的深层原因。

钛媒体:CrowdStrike是一家怎样的公司?

王小丰:本轮网络安全创新周期是为先进计算架构构建系统安全防护能力,CrowdStrike是这一周期中最具创新力和进取心的网络安全企业。

2011 年两位传统杀毒软件企业McAfee的高管发起创立CrowdStrike,其Falcon产品开启了多租户、云原生、智能安全解决方案的先河,凭借技术、体验、服务等优势(也凭借其和美政府良好的关系),迅速领先于同领域企业。并曾较长时间内是诸多网络安全上市企业中,市值最高的公司之一。

但是,CrowdStrike也是鲜明的美国情报机构“旋转门”性质的企业,还是美方构陷抹黑中国的急先锋厂商,更是美国军方在全球推动向前防御政策的受益者。

从创立之初至今,公司高管团队中有大量原联邦调查局(FBI)及军方官员,他们在政府任职期间曾参与了高层网络政策制定、网络力量以及网络活动溯源等活动,可为该公司与美政府的深入合作铺路。

CrowdStrike现为美国联邦政府、美国国防部等机构的主要安全供应商之一,是美国土安全部网络安全与基础设施安全局(CISA)组织的联合网络防御合作计划(JCDC)首批成员,是美国防部受控非机密信息(CUI)最高授权级别IL5供应商,这项授权允许美国防部、情报界和其他联邦机构部署CrowdStrike产品保护最关键的非机密资产,构建零信任架构。

从资本方面来看,CrowdStrike也是在美政府背景资本扶植下成长起来的。CrowdStrike从2011年成立到2019年6月在纳斯达克上市,华平投资集团(Warburg Pincus)一直是最大股东,参与了多轮融资。投资CrowdStrike决策期间时任华平投资集团董事长曾担任美财政部长,极力污蔑“中国窃取美国知识产权”。

CrowdStrike拥有先进的威胁情报、事件响应和持续监控能力,这些能力对于美全球推行“向前防御”(Defend Forward)行动至关重要。CrowdStrike服务于美霸权战略。其创始人、前首席技术官德米特里·阿尔佩罗维奇(Dmitri Alperovitch)更曾长期从事针对中国的“网络调查”CrowdStrike多次发布在网络安全问题上抹黑中国的分析报告,是美方构陷抹黑中国的急先锋厂商;

从技术运行体系和产品能力上,CrowdStrike依然是国际最优秀的安全企业之一,也是我们必须对标和研究的对象。

尽管CrowdStrike曾反复参与抹黑中国的活动,在面对本次重大全球事件中也显示出冷漠和傲慢,这都让我们对其有很大的反感。但我们必须客观承认,CrowdStrike拥有超强的产品研发和运营服务实力,尽管出现了如此严重的事故,也依然是国际最优秀的安全企业之一。对于CrowdStrike彰显的出的技术实力和运行模式等,我国的网络安全产业界需要对其研究、对标、及超越,强化我们自己的先进系统侧安全能力和威胁对抗运营体系。

“蓝屏”事件发生之前, CrowdStrik已经出现 “傲慢和迟缓” 的苗头。

事故之前发生的CrowdStrike,财务指标异常优秀,市值也近千亿美元。但财务成功的背后,其已经开始显露出“保送生综合症”。对自身技术盲目的自信。在过去数月,CrowdStrike出现多起稳定性事故,但显得响应迟缓,店大欺客。从技术创新来看,其在零信任、边缘云、先进制造等方向和场景领域的研发进取心,均略显不足。

拥抱IT场景变化,直面安全威胁的演进趋势,敏捷和坚定的创新精神,本身是CrowdStrike在面对McAfee、Symantec等一众老牌的反病毒企业(Big AV)的竞争中胜出的法宝。如果这种基因缺损耗散殆尽,那么也就会陷入“屠龙少年终将变成恶龙”的宿命,我想此事件,对于所有希望永续创造有效安全价值的安全企业都是一个教训和警醒。

钛媒体:CrowdStrike在中国市场的客户多吗?影响范围大吗?

王小丰:CrowdStrike在中国市场用户较少,主要原因是CrowdStrike对中国大陆禁售。

国内主要相关外资企业、部分使用微软数据中心的企业、还有一部分为国外用户作外包的软件公司(因境外客户对供应链的统一安全要求),会使用Falcon;国内的另外一些外资企业,出于价格的原因相当一部分会选择其他美国厂商(如Palo Alto Network)的替代产品XDR。故国内影响范围比较小。

在网信领域,西方一直采取高端限制、中端垄断、低端冲击的方式,遏制中国产业发展。但在网络安全领域,中国长期更强调自立自强,从而保证了西方冲击我们的市场时可竞争,西方断供时有的用。中国相关安全安全产品和能力上,与CrowdStrike等相比,依然存在一定差距,特别是很多产品的检测、防护能力存在不足,存在查不出、守不住的问题,但在不被卡住脖子方面足可支撑局面。

国内终端安全领域,多是国内厂商在相互竞争。基于综合原因,国内客户在终端安全/云安全领域,多数由国内安全企业供给,而大型互联网厂商则往往选择了自研。但就端云安全市场的整体质量和市场规模,相比西方发达国家市场有较大差距。

钛媒体:如何看待CrowdStrike在行业内的领先性?国内厂商的差距有多大?

王小丰:CrowdStrike在技术实力、产品覆盖规模、和商业模式上,仍全面领先于业内厂商。

CrowdStrike的通用代理、基于IOA 和Al的威胁检测、(威胁)图计算、威胁情报、整体解决方案等技术均领先于业内;在系统安全能力上,无论是对比McAfee、Symantec等老牌杀毒企业,还是对PA和Fortinet等后天补齐端云侧安全能力的安全网关企业都有较大优势。其覆盖规模大、防护终端类型全,目前世界500 强企业中有271家是其客户;此外其基于云服务的安全托管服务的开展范围和高水平工程师数量,形成了规模效应。

国内厂商和CrowdStrike的差距,相比于国外厂商和CrowdStrike的差距更大。我们必须面对的事实是:国内终端安全产品能力参差不齐,多数产品在海量终端管理运营结构、内核态的检测技术、自主的恶意代码检测引擎技术、敏捷运营和规则体系方面,不仅和CrowdStrike差距很大,也不及CrowdStrike的主要国际竞品。

从市场格局上,国内市场小碎情况比较严重,从运行托管模式上,国内更是基本尚未规模化开启。我们需要正视差距,也需要理性的看待差距的成因,更需要坚定超越的信心和决心

中国的主机安全产品是在一系列的压力和挑战中成长的,其本身面临的挑战包括:

一、国内客户不认同软件产品价值。从信息化到网络安全中,用户均不认同软件的附加值,安全领域长期习惯性于堆砌盒子支撑防御,导致软件类产品长期处在极限价格战的竞争状态中。

二、互联网免费安全模式阻断了发展延续性。国内江民、瑞星、金山等反病毒企业虽然和卡巴斯基、赛门铁克等国际知名企业起步时间差不多,但其发展过程被互联网免费安全软件颠覆性打断,个人安全免费的认知连带影响了企业安全产品的溢价,导致市场空间严重萎缩。使国产老牌杀毒企业均没成长为比肩卡巴斯基、赛门铁克、麦咖啡等产业力量。

三、  碎片化合规导向:终端安全软件没有完全按照威胁对抗的主轴展开,被碎片化的多种合规要求切割成小赛道,导致一些场景下用户托盘里有7、8个图标并不罕见。

四、  横向生长低水平竞争:国内新兴的服务器、云主机等安全企业快速遭遇到传统关系型安全厂商的的快销品封堵。

五、  国际市场没有充分打开:系列综合因素导致国内主机安全产业力量投入国际竞争实力不足。与此同时,国内相关的能力型企业也是美方打压的对象,2013年美国情报机构NSA制定的CamberDADA计划,全球重点关注卡巴斯基在内的23家安全企业,安天也“有幸”的位列其中,直接导致了我们面向美欧的反病毒引擎授权业务全部中断。

这些综合的原因导致国内各主流厂商的终端安全防护产品都没有获得足够的市场空间回报,也无法有更强的能力做更多的投入。但整体来看,国内已经具备领先能力的厂商,与美国硅谷的产品差距并不是不可追赶的,在国际市场上不是不可竞争的,关键看自身的努力和产业和场景环境。

钛媒体:安全软件更新之前应该有怎样的检查机制?

王小丰:相比应用软件,安全软件更新是一个复杂的机制。其可以包括功能类和能力类两类,功能类比较好理解就是软件功能模块的增加、版本的迭代,在这一点上安全软件和应用软件没有本质区别,整体上都是大版本按照瀑布方式推进,有部分局部功能的敏捷迭代。

但能力类主要是跟随新的威胁对抗、脆弱性和用户运营需求,包括恶意代码(病毒)特征库、漏洞库、配置策略库、补丁库(含热补丁)、行为检测库等的升级。这是安全软件的独有特色。越是出色的安全软件,响应威胁就越迅速,更新迭代就越频繁。

关于一些常见的能力升级、安全风险、及厂商侧的稳定性测试要点,如下表。

在上述基础的安全能力更新中,恶意代码库的更新机制是最成熟的,也是最频繁的。以安天自己为例,每日本地库的更新是10次。由于恶意代码检测引擎是基于静态执行体对象的检测,其核心的质量控制就是防误报——因为误报就会产生误杀。

主要的品控方法还是基于高覆盖率、海量的白名单进行测试,同时也会对前端检出事件进行数据分析。通常来看,如果有严重误报的话,对应规则检出数会迅速激增。反病毒产品工业化的标准是在不能误报系统软件和常用软件的前提下,对非常见软件的误报率是十万分之五以下。基本上所有带有恶意代码检测能力的主流厂商,历史上都发生过为数不少的误报误杀事件,包括我们自己。

历史上影响较大的误报事件包括,2007年赛门铁克误报中文XP事件,2010年McAfee的大规模误杀事件,而当时McAfee的CTO正是CrowdStrike的创始人。但2010年之后,各主流厂商的防误报的品控能力已经相对成熟,加之微软对安全厂商的更多的资源开放,主流安全产品严重的误杀系统文件相对较少了。

在各种安全能力升级中,主要会影响到稳定性的是动态主防/内存安全机制,由于其应对的是攻击的战术动作和一些敏感行为,所以很难完全用类似病毒检测的形式化规则作为主要的升级逻辑。X需要小模块、钩子和参数定义以及规则化主防点的混合升级。通常来看,主机防护产品占用负载过高导致系统或应用崩溃等情况,多数都由包括实时监测和内存安全在内的主防机制所导致。

钛媒体:CrowdStrike的事后应对是否做的足够好?结合行业来看,CrowdStrike应该如何做?

王小丰:根据目前公布的信息,CrowdStrike于7月19日北京时间12:09(04:09, UTC))发布了配置更新,并于北京时间13:27撤销更新,它相关规则的存续时间大概是1小时。但在如此短的时间内,造成850万设备的问题,说明CrowdStrike并不是采用一个面向客户的灰度式更新方式。

另外其在线运营机制可能是基于类似于软件崩溃和其他的信息来反馈响应的,但功能推送造成用户蓝屏后,由于已经不具备和其托管机制进行通讯,导致了其无法从自动化体系中看到问题。

但从整个全局运维的角度,这一小时从CS的托管中心应看到的是连接节点数量的快速减少,同时这个时间段同时也应该伴随着大量用户的求助。这一时间段有可能包含了其定位问题和处置的时间,但显然对问题的严重性认知不足,没有做第一时间的回滚。

CrowdStrike后续的联动处理整体来看是傲慢的和不尽如人意的,其处置方式的发布需要通过了用户认证登录其网站上才能看到,说明其还是担心事件影响扩散,有“捂盖子”的心态。大量用户在当时所有主机已经蓝屏停摆,根本不具备登录其网站查看信息的条件。而此时其不借助公共媒体,快速发布处置方式。其官方处置方式是被登录用户转发出来后,才被其他用户所看到。这是非常不负责任的。

令我们特别费解的是,其提供的处置方式进入在安全模式后,手工进行的文件查找和删除,由于这一事件必须要网管和用户逐一机器处理,这就使相关操作要消耗掉很多时间,而相关处理可以快速简单地封装成一个GUI或行命令工具,帮助用户节省时间,但CrowdStrike却一直没有做,因此我们才在事件的几个小时之后写了一个GUI的小工具。

这一事件的另一个问题是由于云租户不具备把主机启动到安全模式下的条件,但CrowdStrike在很长时间没有给出对应的解决方案,该事件导致最大麻烦,是很多用户使用了Bitlocker引导卷加密。在遗忘和丢失密钥情况下,基本无法解密恢复。但除了要求用户准备好恢复密钥之外,CrowdStrike一直没有给出有效的建议,也没有提供风险说明。

钛媒体:为什么微软无法避免这次蓝屏事件?

王小丰:安全防护产品,必须用更多的底层驱动和内核技术才能实现有效的防护。

网络空间对抗本质是一种运行对抗,运行对抗就是防御方阻断攻击方执行体的投放、运行、提权等操作,并在威胁执行体突破了检测和拒止机制后,仍能对其远控、敏感文件访问、加密勒索等行为进行管控。

由于要实现有效的防护,安全防护产品必须用更多的底层驱动和内核技术才能实现对攻击者的前置防御,不使用底层技术的安全产品可能相对更稳定,但基本无法有效防护攻击。打个类比。纸糊的墙,在塌了的时候不会砸到人,但纸糊的墙的防御能力就是摆设。

快速新增的恶意代码(病毒)和攻击技术,需要安全防护产品快速更新规则/配置等。每分钟都在产生新的的恶意代码(病毒),也不断出现新的攻击技术,因此安全产品必须能快速迭代更新,因此安全产品更重要的不是功能版本升级,而是威胁检测规则、安全基线、策略配置等快速更新。通常来看,要做到云端规则实时更新、增量本地规则小时级更新,严重风险紧急敏捷更新由于要实现有效的防护。

微软不可能“因噎废食”,因为这只会带来更大的威胁,兼顾有效防护、快速迭代,又要保证自身的稳定,是安全厂商的职责。此时微软若限制底层驱动和内核技术的开放,无异于“关闭烟感报警器式的因噎废食”,只会导致更大的风险。

也许未来会Windows上类似eBPF的技术降低此类风险,但也仅仅是降低。微软提供了部分安全驱动接口的安全厂商调用,但也兼容支持安全厂商自主的驱动实现。目前Linux 内核中目前提供了灵活并且相对安全的eBPF技术来扩展内核功能,我们也期待未来操作系统厂商提供更多官方的底层驱动机制和技术利用方式,降低安全厂商自己编写驱动的工作量和风险。

但要说明的是,对于安全厂商,做好安全有效性和稳定性的基本功才是关键中的关键,片面强调防护能力、过度强调稳定性、或者等靠操作系统等底层技术升级,都是安全厂商和用户都需要规避的认知错误。

钛媒体:如何看待CrowdStrike导致的连锁反应,结合安天的观察,企业客户正在做怎样的应对?

王小丰:安全厂商会普遍更重视自身的产品和能力升级的品控,完善升级的灰度发布能力、提升品控管理能力、也包括提升自己的代码安全水平、提升安全产品自己的安全性,会成为厂商的重要竞争力。

本次重大事故,反而证明了国际优秀厂商对内核态检测防护技术、安全托管、规则更新及时性等的重视,相信“坚持内核态的威胁检测/采集能力,同时做好有效防护能力和稳定性的平衡"等会受到国内客户和厂商共同关注。

越来越多的客户,可能加快从虚拟化向容器技术的迁移,因“容器技术+灰度发布"更有利于减少升级故障,这对虚拟化支持相对不够理想的信创架构来说,可能是一个可以跨越式发展的机会。

海外的终端安全托管服务,“快速响应规则更新“是过去品控的薄弱环节,这次有可能是一个完善相关机制的契机,测试的严苛度、部署的严谨性、甚至客户的可介入度都会更完善;同时安全托管依然是大势所趋,相信这次事故后导致短期放缓、中长期看好;二我国的终端安全托管服务尚未广泛开展,也希望这些完善会让我国此类服务开展的更稳健。

超大规模事件背后是垄断,垄断的背后都是寡头,减少全球科技对寡头企业的过度依赖才是治本。

美国网络安全等IT产业的崛起,有“自身的高创新力人才储备充足”、“商业环境乐于拥抱创新“、”对创新出现的错误包容度高(例如对本次‘蓝屏‘事件,公众大多持包容态度)”等正面原因,但这种良好的创新包容环境也容易造成赢者恒赢。在美国政治和产业环境更进取创新的时代,相对还有反垄断机制来对冲IT寡头成长。但今天这种机制的作用已经衰微。

因此我们不能简单地从企业和技术的角度上看待这种过度集中的现象,要直面背后资本和寡头的根因,看到导致此类事故的背后的逻辑必然性”。减少对全球科技对寡头企业的过度依赖会达成更多的共识,相信我们国内优秀的安全企业会把握住这次崛起的时机。

钛媒体:CrowdStrike的价值足够大,微软为何不将对应的安全能力内置?

王小丰:Windows自切换到NT架构后,微软兼并了多个安全公司,组建了可信计算和应急响应部门,一直在将操作系统的安全能力内置化,比较突出的改善包括,安全策略和配置点的不断增加、DEP和ASLR等内存安全技术的持续强化、Windows Defender的全面内置、AI能力迅速引入网络安全(Security Coplit)等。甚至美军已经将下一代端点防护由原来McAfee等厂商提供的ESS,替换为了Windows Defender。如果从收入,而不是从独立企业实体对比来看,微软安全部门已经是全球最大的网络安全企业。

同时,微软也在应对安全问题上界定自己的合理边界。基石是主机终端安全。Windows尽管用户基数庞大,但也不是操作系统的唯一选择。

终端安全作为安全的最后一道防线,涉及到的攻击面众多,例如:从生命周期周期视角,需要从DevOps—>设备接入/准入—>软件部署/落地—>启动控制—>资源访问控制—>行为检测—>自适应异常检测/管控等阶段均建设安全能力;

从防护对象视角,需要针对镜像、操作系统、容器环境、中间件、应用软件、API/数据、网络等防护对象建立安全能力;从安全运营视角,需要具备资产识别、(网络)访问控制、风险检测、补丁修复、威胁检测、事件分析、响应处置等闭环的安全能力。同

时最终客户通常还需要:采用异构终端(OS),以满足业务场景;对异构终端进行统一安全管理,以提升防护效能;针对不同IT场景进行裁剪和适配,以降低成本;以及融入自身的安全运营管理系统/体系等。

这些问题很难都有操作系统厂商来通吃通杀。至少微软很难去解决其他OS场景的安全问题,如Linux、Android等。这里涉及到技术能力,涉及到基础信息产品厂商和安全厂商的分工问题,也涉及到微软作为信息军工复合体和同样在走向新兴军工承包商的CrowdStrike等安全企业的微妙的竞合博弈,以及背后的资本集团利益。

但微软自身安全能力的强化、生态的构建,是非常值得我国操作系统厂商对标学习的。我们基础信息产品已经实现了用起来,未来一定能更安全、更好用。

钛媒体:为什么说国内安全行业陷入了低效、内卷、价格战?如何走出?

王小丰:国内需求场景、和品类赛道高度碎片化、对客群关系依赖严重,反过来导致研发投入耐心不够、炒作概念包装潜源创新。规模性安全企业由于基本都是品类横向生长的结果,难以达成科技行业必须的边际成本递减效应。这些都是国内企业必须直面的现状。而且这些突破,需要我们安全从业者率先从自身突破开始,更是我们必须要有的觉悟。

国内安全行业发展尚未不够成熟,是一个系统性的问题。但作为服务数字领域的细分行业,网络安全行业发展不成熟的原因比较复杂:既有发展的时间不够和耐心资本缺乏的原因;也和部分数字领域,特别是在政企服务和政企安全领域,我国还处在碎片化、小生产阶段的小农作坊生态中有关;国内产业受到的打压、封堵也有关系;更和企业长期只在国内的市场内部竞争有关。

本次危机,是危险,更是机会。

CrowdStrike事件的启示绝不只是安全产品自身的稳定性,更是我们必须建构对标国际先进厂商的的主机系统侧防御能力,我们才能有效的防御威胁。

安全的防御基石正在重回主机系统一侧。病毒和恶意代码的快速膨胀,APT攻击、定向勒索攻击,包括混合执行体和其他漏洞突防方式的广泛战术运用,使我们必须围绕这些攻击的最终目标场景,即主机系统和工作负载一侧全面改善防御能力。而先进计算架构的演进、计算的持续分散化、接入的泛在化、和我们的国产信创,即导致系统侧安全场景需求的复杂性,也创造了新的防御场景需求。

中国网络安全产业体系在系统安全、反病毒引擎能关键能力上有较好的技术积累,最早的反病毒企业和国际同行几乎同时起步,产业和产品本身也经历了与国际产品的竞争,以及国内特殊的互联网免费安全模式的洗礼。已经沉淀出产业的基本面。

尽管主机系统安全直面绝大多数威胁挑战,是最后一道防线,但由于产品形态是软件,加之国内互联网免费安全的认知在政企侧的传递,长期成为了一个被忽视、缺乏足够投入的场景。我们传统的IT成本,导致安全预算更多的围绕载体,即盒子的对齐展开。而不是按照防御压力和威胁对抗的加之分配预算资源。

随着安全向有效防护的价值回归,我相信这个局面终将改变。全主机系统场景安全、恶意代码对抗、IoT和智能设备场景的内生安全等,都完全可以成为我国网络安全能力的长板。不仅可以守护好我们自身的安全,同样能重新走向国际市场。

相信中国网络安全产业,会摒弃封闭自保,会学习在制造业、通讯等产业领域的中国优秀企业的经验,会顶住当前打压、封堵压力,不仅守护好中国的用户和信息系统,更能在国际市场上锐意进取。从让世界其他各国,特别是第三世界国家在数字化和网络安全防护上增加一种选择权。我们具备这个能力基本面,中国网络安全的能力型企业在自身进取、国家支持下可以可以把握住崛起的时机、担当这个使命!

注:本文部分内容来自安天分析报告《CrowdStrike导致大规模系统崩溃事件的技术分析》和肖新光署名文章《我国网络安全当前重要风险仍是主机系统无效防护——关于如何正确看待 CrowdStrike事件的思考》

(本文首发于钛媒体APP,作者 | 张帅,编辑 | 盖虹达)

转载请注明出处、作者和本文链接
声明:文章内容仅供参考、交流、学习、不构成投资建议。
想和千万钛媒体用户分享你的新奇观点和发现,点击这里投稿 。创业或融资寻求报道,点击这里

敬原创,有钛度,得赞赏

赞赏支持
发表评论
0 / 300

根据《网络安全法》实名制要求,请绑定手机号后发表评论

登录后输入评论内容

扫描下载App

Baidu
map