“蓝屏事件”突然爆发后，引起全球震动，更深刻的警醒和反思仍在持续之中。心智观察所就此次大规模蓝屏事件背后的发生机制，国产操作系统自主可控等一系列问题，和安天董事长、首席技术架构师肖新光先生进行了深入交流和对话。

心智观察所：CrowdStrike是一家什么样背景的企业，是怎么实现快速崛起，在全球拥有庞大装机规模的？

肖新光：CrowdStrike是一家以云和终端计算环境为主要防护目标场景、以威胁检测对抗为基础能力、以主机系统侧安全为产品形态、以安全托管服务为先进运行模式的企业。综合来看，CrowdStrike的崛起是自身进取、IT发展趋势、资本布局和美国政府旋转门运作的综合结果：

当地时间7月19日，由于CrowdStrike更新故障，Windows电脑显示屏出现蓝屏。

1）CrowdStrike在技术结构设计、运行理念和技术能力上的先进性是根本内因。CrowdStrike的创业者曾在Big AV（注：即超级杀毒软件企业，是业内对卡巴斯基、赛门铁克、迈克菲这批老牌杀毒企业的统称）反病毒体系中经历了多年的浸润和搏杀，深度理解主机系统安全的运行机制和威胁对抗的基础逻辑，同时又精确把握了先进计算架构的安全需求，把握了安全基石回归主机系统和工作负载的机遇窗口，前瞻性地选择了以安全托管订阅为核心运行模式的企业运行方式。其安全能力侧聚焦主机场景，构建了下一代杀毒、智能主防和检测响应、外设管控、主机防火墙四大关键能力，并依托情报和恶意代码分析能力作为服务延展，强化综合安全运营能力，技术规划和演进路径非常清晰，在威胁对抗中响应敏捷。这些都成为其崛起的内因；

2）先进计算环境的安全需求和系统侧安全的回归为CrowdStrike的崛起提供了历史机遇。在过去20年间，计算结构发生的一个重大变化是资产体系由原有的IDC服务器-终端体系进入了以云计算为主导的先进计算结构，虚拟化、容器等新的工作负载承载形式不断迭代。应对新兴计算场景的安全需求，没有Big AV时代的系统侧安全底蕴则难以承载，但简单地套用传统杀毒软件的模式并不足以应对需求。与此同时，在资产云化、泛在接入、通讯协议普遍加密的背景下，以防火墙等网关设备为代表的安全边界的价值全面衰减，安全的基础基石重回主机和工作负载一侧，安全预算的结构也发生变化；加之美国整个的IT基础场景相对集约化，提供了相对统一、集约的运行环境和场景，使CrowdStrike可以将研发资源聚焦在先进产品架构、威胁感知捕获、威胁检测猎杀和运行模式等价值主闭环上，加之硅谷本身包容创新的基本环境，这是其崛起的客观条件；

3）CrowdStrike的崛起离不开美国产业和金融资本的全力助推。在美国网络空间安全的产业体系演进过程中，在个人计算革命的周期中，诞生了赛门铁克、迈克菲、趋势等为代表的面向端点的老牌杀毒企业；在信息高速公路建设的周期中，兴起了Netscreen、Fortinet、Palo Alto Networks等网关侧的创业明星，系统侧和网关侧，形成了安全基础能力的两大阵营。在计算结构发生变化、威胁形势快速演进的背景下，老牌杀毒企业开始表现出技术架构落后、威胁响应的敏感性和锐度下降的问题，而网关侧企业又很难在短时间内快速弥补系统侧安全基因的缺失，无论是大场景需求，还是产业能力完善、资本概念的需求，都迫切需要打造出一个具有新锐性的系统侧安全明星企业，在此过程中Bit9、Cylance、Carbon Black也一度被资本追捧，但最终是由CrowdStrike夺得头筹。这一结果离不开强有力的资本持续助力。作为CrowdStrike主要投资者的华平资本时任董事长曾担任美国财政部部长，也是著名的反华政客。

产业和金融资本一直是美国全球产业竞争的超级后援团。例如在上世纪反病毒产品的最初竞争格局中，美国企业产品能力并不在最高水平，欧洲军团才是产品能力（特别是检测能力）的翘楚。在这个过程中，美国通过垄断资本的利益逐渐化解了欧洲的安全产品体系，如：在资本操盘下，由迈克菲收购了当时欧洲最大的反病毒企业Dr Soloman。后来英国代表性的安全企业Sophos也被美国产业资本并购。

4）CrowdStrike的崛起亦有美国政商旋转门的背景，与美国全球霸权布局高度相关。CrowdStrike有鲜明的旋转门企业特点，其创业团队成员和多位高管都有美国情报机构任职履历，在其发展中，通过多次炮制抹黑中国的技术报告，为美国军方和情报机构交上了“投名状”，而美国政府也“投桃报李”，将CrowdStrike列为其在“向前防御”战略和对外产品输出的一个重点层次，帮助其在国际市场快速崛起。

5）CrowdStrike没有出现有力的国际挑战竞争者，也与美政府直接打压国际竞争者相关。在商业竞争中，美政府相关部门反复下场打压其主要国际竞争者已经屡见不鲜。特别是对中俄厂商的干扰打压尤为突出。

美情报机构NSA 从2010年制定的“拱形计划”（CamberDaDa），陆续圈定了重点关注的全球23家可能发现和影响其情报活动的网络安全企业，其中约70%的企业在欧洲（17家），26%的企业在亚洲（6家），但没有任何一家美国及“五眼联盟”国家的网络安全企业上榜。

这个计划最重要针对目标就是俄罗斯著名安全厂商卡巴斯基。卡巴斯基历史悠久，技术长期领先，国际业务规模较大，品牌知名度很高。2017年，美国国土安全部就以国家安全为由，发布指令要求“从所有联邦信息系统中删除和停止使用卡巴斯基产品”；今年6月20日，美国商务部工业和安全局(BIS)宣布全面禁止卡巴斯基实验室及其所有附属公司、子公司和母公司在美国提供任何产品或服务，该禁令已于7月20日起正式生效。

我所工作的安天也对这种打压干扰有深刻的体会。安天是上榜CamberDaDa计划中的唯一中国厂商，受此影响，我们在2013年之后只能逐步停止了对美国安全企业的引擎授权业务。另外，因长期分析美方情报机构的攻击活动，2022年我司被美国国会有关“中国网络安全能力”听证会报告点名，致使我们进一步失去了相关亚洲国家市场。

心智观察所：据分析，发生蓝屏的主要功能模块CSAgent.sys带有CrowdStrike和微软的双重数字签名。微软第一时间撇清关系，包括网络安全和基础设施安全局主管也站出来给微软站台。怎么理解CrowdStrike和微软在这次事件中各自应该承担的责任？

肖新光：安天在《CrowdStrike导致大规模系统崩溃事件的技术分析》这篇报告中对本次蓝屏事件进行了详细分析，问题发生的机理是：CrowdStrike主防的核心驱动CSAgent.sys的模块在读取、解析相关的配置策略文件时发生异常，进而导致Windows系统蓝屏崩溃且重启后继续蓝屏的严重后果。这与CrowdStrike公布的原因是一致的。CSAgent.sys之所以带有CrowdStrike和微软文件双签，主要来自微软对Windows的强制性内核模块和驱动的签名需求。通常来看，软件应用都可以去各个机构申请软件证书，以形成可信认证链，验证软件模块与发布侧的一致性，对抗攻击者对产品的篡改。但如果出现大量的攻击者申请证书或入侵软件开发者系统，窃取签名证书，签发恶意代码的情况，这些恶意程序可以作为有签名的驱动和内核模块来加载。针对此，微软形成了一套自身的证书签发管理机制。强制要求驱动和内核模块同时需要微软的签名才能在引导链上加载。这可以视为一个“双保险”机制。

但这个机制核心解决的还是确保引导链加载的均为可信对象，但并不能解决签名驱动本身的稳定性、可靠性和安全性问题。客观来说，就本次事件而言，微软的责任较小，主要责任应当由CrowdStrike承担。

心智观察所：如果模块的稳定性对系统内核会有直接影响，Windows将有关权限外放给网络安全产品是否明智？相较于Mac OS等竞品，Windows引发蓝屏保护的情况较为频繁，一直被用户诟病，怎么理解这种情况？

肖新光：微软和苹果在运营模式上有巨大差异。微软崛起，源于上世纪80年代由IBM确定了IBM -PC的体系结构，形成了由英特尔提供X86架构的CPU、微软提供操作系统、IBM输出PC主机标准的这样一套框架，使个人计算革命走入了大生态支撑的加速运动。这一背景决定了从MS-DOS到Windows系统采取的运行方式是广泛兼容各种硬外设件、支撑开放式软件生态。驱动底层接口不仅仅是为安全厂商开放，而是要支持大量板卡、外设硬件，因此必须开放相关的驱动标准。

而Mac OS的硬件选型是在一个相对封闭的供应链体系结构内进行的，其CPU、板卡、显卡、包括屏幕外设等都是基于严格的自我供给或致密合作的供应链体系，其硬件扩展整体上是在外设层面，而不是板卡层面，其软件应用也是基于单一的软件市场Apple Store来进行闭环运营的。苹果系统本身要承载的硬件兼容性和软件稳定性压力都相对较小。Apple Store是苹果系统获取应用的主要来源渠道，因此形成了较强的源管控，这一机制降低了苹果用户下载和运行恶意代码的概率（当然，在历史上Apple Store被穿透的事件也屡见不鲜）。