75年Windows老专家解密微软全球大蓝屏的技术细节
在2024年7月22日,一场由CrowdStrike公司发起的更新灾难性地影响了全球数百万Windows设备。这次更新不仅导致8.5百万台设备陷入崩溃,还引发了全球经济的连锁反应。这一事件与2010年McAfee杀毒软件更新时错误删除Windows服务主机文件的事件惊人相似,而McAfee当时的CTO,George Kurtz,如今正是CrowdStrike的CEO。
让我们深入挖掘这起事件背后的技术细节。CrowdStrike的Falcon传感器是一款在后台运行的软件,它的任务是检测潜在的安全异常。它由一个执行代码的驱动程序和一些配置文件组成,这些文件包含对新潜在攻击的规则。然而,当CrowdStrike推送了一个更新到配置文件291时,一个逻辑错误导致了整个系统的崩溃。
通常情况下,应用程序的崩溃只会局限于自身,不会导致系统蓝屏。但CrowdStrike的软件运行在CPU的最高权限区域——内核模式,也就是ring zero,这是一个通常只有微软才能触及的区域。为了在这里运行代码,第三方必须获得微软的WHQL认证,以确保代码不会破坏设备或导致全球经济的停摆。
CrowdStrike的驱动程序获得了这一认证,但问题在于,他们可以动态更新这些配置文件。在这次事件中,驱动程序在读取配置文件时出现了问题,导致系统崩溃。尽管官方只提供了有限的细节,但网上有专业的C++程序员提供了一个广为流传的分析。他的假设是,这可能是一个技术问题,某个工程师在尝试访问不存在的内存地址时,犯了一个新手编程错误,这本可以通过一个if语句来解决。
社区的反馈和另一位安全研究人员的解释表明,代码可能在循环中从表中读取指针,其中一些是无效的。这可能是由于解析配置文件时的错误,导致一些条目未初始化。更令人震惊的是,看起来驱动程序代码可能已经存在问题很长时间,而这次更新只是压垮骆驼的最后一根稻草。
虽然我们可能永远不会完全了解真相,但很明显,一些开发者编写了糟糕的代码。然而,这不仅仅是一个程序员的错误,而是组织层面的失败。Falcon传感器不仅仅是一个简单的待办事项列表应用程序,当软件在关键路径上运行时,应该有多层保护、质量保证、持续集成、分阶段推出等措施。这一事件没有被任何自动化流程捕获,导致了八百五十万台计算机的死亡。
谷歌早有防范?可惜痛失Wiz
谷歌似乎对此早有防范。自2007年起,谷歌便开始在网络安全领域展开一系列战略性收购,累计超过10家公司被纳入其版图。仅在2022年,谷歌就以5亿美元和54亿美元的大手笔,分别收购了安全公司Siemplify和Mandiant。
今年早些时候,谷歌进一步宣布了一项雄心勃勃的企业安全战略,这一战略涵盖了推出两款新的威胁情报和安全运营产品,并且计划利用人工智能技术,如Gemini,来分析潜在的恶意代码并生成摘要。
最近,一则关于谷歌母公司Alphabet计划收购以色列网络安全公司Wiz的消息引起了广泛关注。然而,根据7月23日最新消息,Wiz似乎已经取消了这笔价值230亿美元的收购交易。Wiz的首席执行官表示,公司将转而专注于首次公开募股(IPO),并有信心在没有收购的情况下实现收入目标。
Wiz是谁?
2020年,Wiz在以色列成立,总部设在纽约,被誉为历史上增长速度最快的软件初创公司之一。Wiz专注于云计算安全,提供基于云的网络安全解决方案,其合作伙伴包括了亚马逊、微软、谷歌等多家云服务巨头。
Wiz的创始人兼CEO,阿萨夫·拉帕波特,以及他的三位联合创始人,都是在以色列国防军的网络情报部门服役时结识的。拉帕波特拥有以色列理工学院的计算机科学硕士学位,以及希伯来大学的计算机科学、物理学和数学学士学位。他曾在以色列国防军8200情报部队担任上尉,并在麦肯锡担任顾问。他们曾创立了安全初创公司Adallom,并在三年后以3.2亿美元的价格将其出售给微软。
2020年,带着丰富的经验和对行业的深刻理解,他们离开微软,创立了Wiz。Wiz的业务迅速扩展,其客户包括了甲骨文、摩根士丹利、宝马等国际知名企业。Wiz在美国、欧洲、亚洲和以色列拥有900多名员工,并计划在2024年全球再增加400名员工。公司已经与《财富》100强公司中的大约40%签订了合同,并且是迄今为止最快达到1亿美元年度经常性收入的公司。根据《福布斯》的报道,他们现在每个人的个人财富大约为10亿美元。
Wiz的全球影响力正在迅速扩张。目前,公司在美国、欧洲、亚洲和以色列拥有超过900名员工,并计划在2024年之前再增加400名员工。Wiz自豪地宣称,它已经与《财富》100强公司中的大约40%签订了合同,这一成就在业界是极为罕见的。更令人印象深刻的是,Wiz在2021年2月的年度经常性收入(ARR)仅为100万美元,但在短短18个月后,这一数字飙升至1亿美元,成为迄今为止最快达到这一里程碑的公司。到了2023年,Wiz的年度ARR更是达到了惊人的5亿美元。
Wiz的快速成长和卓越业绩,吸引了包括红杉资本、黑石集团、星巴克创始人以及法国商业大亨伯纳德·阿尔诺等知名投资者的关注。自2020年成立以来,Wiz已经连续六轮筹集了19亿美元,其中在今年5月的最新一轮融资中筹集到了10亿美元,估值比上一轮上涨了20%,达到了120亿美元。根据Pitchbook的数据,Wiz不仅是最快达到1亿美元ARR的公司,也是最快达到100亿美元估值的科技公司,其发展速度甚至超过了当年的Uber和Facebook。
Wiz的市场估值之所以如此之高,很大程度上得益于它所处的云安全行业,以及它对AI浪潮的深刻理解和应用。随着越来越多的公司采用云计算,敏感数据的存储和网络数据架构的复杂性不断增加,这为黑客提供了更多的攻击机会。在竞争激烈的市场中,Wiz选择了一站式平台作为其卖点,提供包括云工作负载保护(CWPP)、云安全姿态管理(CSPM)、云基础设施权限管理(CIEM)等功能。此外,Wiz还与众多其他初创公司合作,构建起自己的生态系统,提供无与伦比的灵活性。
Wiz的技术能力不仅局限于从亚马逊AWS、微软Azure、谷歌云等云环境中提取数据,它还能够对应用程序、数据和网络流程进行全面的安全风险扫描。无论是网络、身份、机密还是工作负载,Wiz都能够跨不同领域进行信息的相关性分析,为用户提供一系列详细的视图,帮助他们理解风险可能产生的地方,以及如何进行修复。这种全面而深入的安全解决方案,正是Wiz在云安全领域脱颖而出的关键。
AI大模型面对的安全威胁
Wiz的研究团队深入探讨了生成式AI模型所面临的安全威胁,揭示了一系列针对这些智能系统的攻击手段。
首先,数据中毒攻击,这是一种在AI模型训练或微调阶段,攻击者试图影响模型决策过程的策略。
接着是幻觉滥用,攻击者预测AI模型可能产生的幻觉,并抢先注册虚假信息以误导模型。
间接提示注入和直接提示注入则是更为狡猾的手段,前者通过提示操纵模型输出,而后者则通过特定提示直接对消费者利益构成威胁,甚至可能窃取数据或滥用模型。
Wiz的卖点之一便是其提供的帮助企业管理和监控AI模型安全风险的服务。今年初,Wiz与开源社区Hugging Face合作,对几家AI服务提供商进行了深入调查,结果令人震惊。研究发现了一些严重的漏洞,这些漏洞可能导致数百万个私有AI模型和应用程序的信息泄露。报告中指出,攻击者能够查询并可能获取客户的私有AI模型,这不仅会暴露模型训练过程中的专有知识,还可能泄露包括个人身份信息在内的敏感数据。
买什么股票?
科技巨头们都如此重视网络安全,谷歌更是不惜开出230亿美元,折合1672亿人民币的天价收购。那么作为普通投资者,我们的读者怎样参与投资呢?
我为大家筛选了以下个股:
启明星辰(002439.SZ):作为中国领先的网络安全产品和解决方案提供商,启明星辰在入侵检测、防火墙、安全管理平台等方面具有较强的市场地位。
深信服(300454.SZ):提供综合网络安全解决方案,包括下一代防火墙、Web应用防火墙等,以及云安全服务。
中孚信息(300659.SZ):专注于网络安全监管领域,提供网络安全监管产品和解决方案。
以上内容不构成投资建议,不代表刊登平台之观点,市场有风险,投资需谨慎,请独立判断和决策