云是一个弹性算力体系，云的体系结构先天是大模型平台的基础。大模型既需要大量的GPU算力支撑，也有很多计算任务可以由CPU来分流和承载，例如微软的云算力在一半的时间都分配给OpenAI来使用。

安天在很早就形成了依靠规模算力体系和工程师团队经验迭代运行的技术底座。我们的赛博超脑体系，已经累计百亿计样本（含白）的向量分析，目前每日样本增量超过200万。我们在去年尝试应用开源模型但调试效果不佳的情况下，自主研发了VILLM威胁分析大模型。我们重点放在加强执行体样本的分析和同源性检测，强化特征工程建设的收敛工程目标，聚焦以二进制执行体样本为对象，以突破token和上下文场地限制作为主要突破方向，取得了较快的进展。后续，我们也在探索VILLM的其他应用场景，以期实现其对防御体系的综合赋能。

7月19日，澳大利亚悉尼一家超市的自助结账终端，一名顾客在蓝屏前结账

心智观察所：因为杀毒软件导致大规模蓝屏死机的情况之前还有过，比如2010年4月迈克菲误杀系统文件，造成数十万电脑死机。盘点这些杀毒软件因更新的病毒定义文件导致的蓝屏问题，会发现其中的共性是往往会发生在周五。之前上扬软件的CEO在接受访谈说，他们总结出来的经验教训就是不要在周五给客户更新软件。如何解读此类事件的“周五魔咒”？

肖新光：安全软件导致系统不稳定甚至蓝屏，可能的原因很多，比较典型的包括：1）安全软件本身出现误报、误杀，清除了关键系统文件、关键的应用驱动，从而导致系统崩溃；2）安全软件因自身机理问题，导致系统死锁或崩溃；3）安全软件在与威胁的对抗过程中，遭到针对性攻击，或者与攻击样本的内存对决等影响了系统稳定；4）安全软件需要大量使用底层驱动和钩子，可能与其他软件发生冲突，特别是当两种以上的主机安全产品在同一主机共存时，这种情况更易发生。

以上几种情况的发生概率和约束方法都是不一样的。关于误报误杀问题，过去发生过的此类安全事件包括：2005年，趋势（Trend Micro）的企业杀毒软件Officescan和VirusBuster因接收并使用了包含问题的升级文件导致系统故障，波及650多家公司；2007年，赛门铁克的诺顿杀毒软件误杀简体中文版Windows XP系统的动态链接库导致系统蓝屏，国内有约五万台电脑受到了影响；2010年，迈克菲的反病毒软件VirusScan误杀Windows XP的系统文件，引起全球数百万台电脑崩溃，这几起事件都是由误报导致。目前主流的安全厂商，通过充分有效的海量白名单的持续积累和误报测试，已经形成了较好的误报测试能力，微软的开发者支持计划也能够帮助安全厂商比较完整地获取微软的系统和DLL文件。同时在检测中，辅以签名验证技术，可以比较有效地降低反病毒软件的误杀、误报。

安全软件的升级，分为功能性升级和能力型升级两种。功能性升级和一般的应用软件没有本质差别；能力性升级则涉及到比较多的能力点，包括恶意代码检测、漏洞检测、补丁升级、配置策略和基线管理、行为检测和主动防御等。这些机制已经比较好的归一化为特征库升级，比如恶意代码检测，主要是依靠特征库的持续升级。恶意代码检测规则更新是安全能力的最基本面，升级也最为频繁。我们出于品控考虑，将病毒库的升级频率从每小时一次降到每日十次，但这已经是底线，如再降低，则无法再有效防范恶意代码。不过，恶意代码检测是线性代价的，相应的模块升级对系统可靠性稳定性的影响较低。只要不发生严重误报、误杀，或者遭遇攻击者构造的特定样本攻击，通常不会产生蓝屏级别的故障。容易对系统稳定性和可靠性带来影响的，主要是主防机制、热补丁、特定的Rootkit或者顽固感染病毒的查杀，而Rootkit或者感染式病毒的查杀这两种情况，都是在用户已经被植入或感染的时候才会发生的，但主防防御机制要保证防御效果，就必须依赖于系统内核驱动和钩子。保证主机驱动的稳定，特别是在主防相关模块的更新时保证其稳定，这是主机防护最关键的质量命题。

计算机病毒和攻击者是不过周末的，在了解安全软件的机理之后就会发现，所谓的“星期五魔咒”导致周五不更新是胡扯的。安全软件的安全能力日常更新其实随时都在进行。当然运营工作是有周期性的，周末用户侧的IT和安全响应人员往往休假不在岗位，安全厂商本身值守人员也比工作日少。如果出现安全事故，确实存在响应人员不足的情况。但著名的魔窟勒索蠕虫大爆发事件，也因为当时是周五，还有大量节点未开机，所以逃过一劫。而安全业界就是依靠周五傍晚紧急启动，快速奋战快速发布免疫、专杀，包括周一开机指南，才有效减少了蠕虫受害节点数量。总之，所有问题都要科学严谨、具体问题具体分析，不能不负责任地给出“玄学”风格的论述。

安全产品需要在快速响应机制和其引入的可靠性风险之间做出艰难抉择：在应对重大突发威胁、0day漏洞在野线索、漏洞成熟PoC突然出现等情况时，是快速分发能力、实现快速处置，还是进行充分的稳定测试后再发布？前者保障了响应时效，但有可能引发可靠性、稳定性方面的问题；后者虽然控制了稳定性风险，但有可能导致失去战机，延长了用户暴露在威胁中的时间窗口，增加陷落风险。对每一个能力型安全企业都是一个充满风险的选择题。

安全软件要考虑的不只是稳定性和能力的平衡，更是在品控约束下如何跑赢攻击活动和威胁的演化。

心智观察所：CrowdStrike过去一直抹黑中国，这次重大事故的处理态度也显得傲慢，作为同行，怎么看待CrowdStrike的产品和技术实力？不可否认的是，CrowdStrike在产品研发和运营层面有着超强实力，目前这类企业往往采用ToB端订阅的方式和客户合作，从研发运营角度看，我国同类型企业的机会和挑战有哪些？

肖新光：我对CrowdStrike有着立场反感，但同时也认可其产品和技术方面的实力。但这次事件中CrowdStrike后续的联动处理整体来看是傲慢的和不尽如人意的。比如其恢复信息的发布居然是通过用户登录认证才能看到的一个页面，忽视了受影响的用户主机已经蓝屏停摆，根本不具备登录其网站查看信息的条件；另外，其仅提供了安全模式下进入对应目录，删除特定文件的手工处置方式，却不愿意通过举手之劳封装一个处置工具，导致网管和用户被迫以极其低效的方式逐一处理；对于云租户不具备把主机启动到安全模式下的条件，CrowdStrike在很长时间也没有给出对应的解决方案。而对于受影响最大的、使用了Bitlocker引导卷加密的用户，除了建议用户准备好恢复密钥，也长时间没有给出进一步的辅助方法。

就订阅模式、托管运营这个问题，目前国内信息基础场景较为碎片化，有很多隔离区域和孤岛节点，升级运营代价成本较大，且有很大的合规性的限制。特别是在大量系统和内网是隔离状态的情况下，是不可能开展托管服务的。物理隔离在一定的历史阶段是有效的安全策略，但现在看来，其在阻断一部分威胁的同时，也阻断了系统安全能力的快速分发和协同弹性的响应，当然也为订阅模式、托管运营的安全运行模式带来障碍。数字化基础较好的和先天在网的企业机构，则有可能在订阅模式、托管运营模式中率先获益。

心智观察所：CrowdStrike服务的西方军政机构、大型企业等客户，有着严格的品控要求，为什么还是发生了这次这样严重的质量事故，其中的教训是什么？

肖新光：如前文所说，主防系统一方面需要有效应对安全威胁、快速迭代，另一方面又要充分保证系统的稳定，要实现两者平衡的确非常艰难。但本次CrowdStrike事件依然有许多教训值得吸取。

CrowdStrike团队的能力起点是比较高的，其核心团队成员曾经历过反病毒主机安全时代安全对抗的洗礼，有系统侧的视野和经验传承，研发研究队伍精英云集。但威胁对抗烈度、难度也持续增加，不再是相对容易的遏制非定向感染式病毒传播和蠕虫扩散，而是要面对免杀木马、内存作业、混合执行体攻击等各种载荷，面对0day漏洞利用、社工欺骗掩护、RoP攻击、格式文档溢出等突防方式和战术运用。在云工作负载层面场景也更为复杂，主防的结构体系和规则策略规划方面，无法完全沿袭恶意代码面向载荷的特征库的经验惯性。既要保证防御的有效性、又要使升级具有高度管理性，需要设计参数配置、规则、脚本和模块的复合升级结构，需要有更细粒度的、动态的测试。

CrowdStrike在创业前期可以凭借清晰的软件架构设计、高水平的编码实现、设计巧妙的规则策略结构等，在一定规模的用户基数下，保证稳定性和可靠性；包括可以先突出威胁对抗能力，打出自己有效检测和防护能力的口碑；但在目前千万级装机规模且覆盖复杂场景的情况下，品控的复杂性，已经和创业成长期不可同日而语。出现问题的影响也急剧加大。CrowdStrike在此前作为纳斯达克的“保送生”过于“顺风顺水”，在这种心态下容易萌生对自身体系结构运行设计的盲目自信，过度强调威胁对抗的敏捷性和威胁防御效果，而在稳定性、可靠性等品控方面的投入，与其用户规模当量不相匹配。

从其规则只存续了1小时左右即造成全球超过850万个节点崩溃的事实来看，其这次规则升级是作为一次轻量级的快速广泛分发，较大可能是针对特定威胁的快速响应机制运行。可见其内部并没有建立起能够到达每一次能力敏捷升级的完整流程体系，在升级时没有充分遵守灰度升级的相应原则。这些都是应当吸取的教训。

7月19日，在德国汉堡，旅客在汉堡机场1号航站楼等待办理登机手续

但与此同时，我们面对这一问题绝不可矫枉过正。目前国内终端系统主要的安全威胁仍是大量的端点系统长期处于低防护、弱防护的状态中。在我们服务或处置的大量安全事件中，我们发现很多政企机构的内部网络依然存在蠕虫泛滥传播、病毒批量感染、宏病毒长期存在的情况，总之是处在极低的安全运行水平。究其原因，或者是没有安装安全软件；或者是在不能联网的主机上安装了互联网的免费安全客户端，这类免费安全客户端高度依赖云端查询能力，纯本地检测能力较为弱；或者是选择了一些号称有杀毒能力的安全合规品，但其实际检测能力非常低下；或者产品选择没有问题，但处在长期不及时升级的导致能力衰减。这些问题是我们当前更需要首先解决的。

应该说，大面积的安全产品的质量事故，是一个可以通过严格的流程体系进行有效控制的偶发性事件。但如果系统处于防护缺失的状态中，在当前威胁攻击活动和恶意代码传播极为频繁的情况下，其被入侵就成为了一种必然性风险。另外，系统安全软件造成的崩溃后果，基本上是可止损、可恢复的，虽然给用户带来了运行价值的损失，但并不会导致用户资产的流失和外溢；但如果用户不改善防护，就将自己暴露在了攻击风险中，而当前以定向勒索为代表的攻击者采用的是“一鱼多吃”的方式，一方面瘫痪用户的系统，另一方面将用户的数据、信息等资产在网上售卖传播，还会通过威胁公开数据的方式，多重施压勒索财产。其威胁后果，远远高于安全软件带来的偶发性风险代价。因此在这个问题上，绝对不能因噎废食，应在保证产品稳定性、可靠性的前提下，不断提升防护水平和对抗敏捷性，构建起坚固的安全防线。

安全能力和稳定可靠性是辩证统一的，历史是辩证演进发展的，如果在重大灾难事件中只基于片面、单一的视角去总结一方面经验和改善，就一定会使事物走到自己的反面。

心智观察所：对于目前国内市场碎片化格局和低水平内卷，您认为企业可以采取哪些应对战略？

肖新光：网络安全整体的市场运行有其历史惯性。较为成熟的网络安全市场演进通常要走过合规导向、威胁导向和能力导向三个阶段——第一阶段解决有无问题，第二阶段解决能力提升和弹性升级问题，第三阶段解决体系运行问题。我们现在的情况是：需求体系已经初步有了能力引导，但供给体系仍处于第一阶段，总体上表现为以合规品为主导的关系型市场。

网络安全面临的困难挑战，并不完全在于网络安全自身，有很多渊源是源自信息化的。例如：我们在信息化发展建设中，长期处于“重硬件、轻软件”的状况中，导致软件没有议价权，形成了一味堆砌盒子而不提升实质安全防护水平和对抗能力的错误导向。在以防火墙和安全网关为安全赛道主品的时代，这一问题并未凸显，但在安全基石重回系统侧时，这一问题便高度显性化了。

网络安全的碎片化，一定程度上是由信息化的碎片化导致的。由于我们很大比例的信息化场景是碎片化、小生产所产生的，大量低成本、低水平的信息系统成为了极难设防的“沼泽地”。与此同时，在基础信息产品信创的发展初期，需要有一个自由发展和竞争的阶段，这个阶段的信创体系存在多种计算机架构、CPU和操作系统的组合，给网络安全产品带来了适配困扰，特别是使主机安全防护的场景变得高度复杂。这些问题会随着信创的集约化逐步改善。

网络安全领域的特点决定了，系统、刚性、深度的需求无法依靠供给侧主体推动，我国网络安全产业需要一场由需求侧变革驱动的结构性供给侧变革

受全球经济大势、美国综合打压等因素影响，当前我国网络安全产业也进入到了一个艰难调整的阶段，当前中国网络安全企业更关键的任务是活下去，然后才能强起来。但也许这正是危机中的转机所在。当横向灌木生长，通过扩品拉开战线已经不能获得更多有效收益，业内就会反省样样通，必然样样松，专下去，才能强起来。当看到低价中标、恶性竞争只会加速成本耗散，赢家通吃只是不且实际的幻想，觉醒的产业主体就会重新校准自己的定位，重新认识彼此的竞合关系。

中国网络安全产业想要实现逆周期发展，就需要回归安全价值的有效性；重新校准和再认知系统安全防护、恶意代码检测等基础能力的价值；深入理解先进计算架构的趋势和安全需求；扎实准备大模型等新技术中孕育的安全危机和技术变革。通过深耕细作和产业协同，实现集体崛起。洞察危机，解析自己，自我革新，走向未来。

本文系观察者网独家稿件，文章内容纯属作者个人观点，不代表平台观点，未经授权，不得转载，否则将追究法律责任。关注观察者网微信guanchacn，每日阅读趣味文章。