微软蓝屏事件揭示国家网络安全挑战

东莞横沥律师获悉

文字|张文，中国移动通信研究所的研究人员；北京邮政与电信大学世纪学院基础教学系副教授Zheng

“ Blue ”事件在全球信息系统的运营和服务方面引发了灾难，强调了关键软件和硬件的重要性成为该国乃至全世界的关键基础架构。因此，有必要与时代保持同步，提高国家网络安全能力，并应对数字时代的新挑战。

1。“ 蓝屏”事件的分析和历史比较

2024年7月19日，蓝屏出现在全球20多个国家 /地区的机场，医院，银行，商业中心和办公室的计算机中，其业务受到影响甚至中断。基于云的服务器无法幸免。

（i）分析“ 蓝屏”事件

这次事故的原因是，在微软系统上运行的美国计算机安全技术公司“ ”（）的软件更新软件包导致操作系统内核由于配置错误而失败。

“中孔”公司的软件是一种反恶意软件工具和应用程序分析工具。它安装在“端点”上，例如计算机，服务器和移动设备。这是一种非常高级且典型的终点检测和响应（EDR）产品。包含具有特权在操作系统内核中运行的内核驱动程序，该驱动程序可以从有利的位置从系统上的各种应用程序的行为进行行为，从而实现早期检测，预警和处置恶意软件。正是因为它处于操作系统的“信心”位置，因此已成为操作系统的“信心”。

由于“人群罢工”公司需要不断地为系统增加检测功能，以防止新兴和不断发展的威胁，因此需要获得自动和常规更新的许可。根据的说法，该更新源自“管道文件”（文件）。尽管更新文件使用“ .sys”扩展名，但它不是内核驱动程序本身，而是传感器中的其他组件，该组件在与内核相同的空间中运行。由于代码编写错误，触发内存读取，即访问未经授权或未分配的内存位置，从而触发操作系统异常。这是一种内存安全管理机制，如果程序试图访问或读取分配给其内存（或在其法律范围内）以外的存储区域，则可能会摧毁其他内存区域，从而导致程序崩溃或产生不正确的结果。随后的“人群命中”，微软的分析报告证实了这一点，崩溃是由人群的.SYS驱动程序中遇到的内存安全性错误引起的。

（ii）历史上的其他大规模停机事件

在历史上，如此大规模的网络事故很少见，但是每一次发生都表明安全威胁已经进入了新的舞台，需要新的安全技术和机制来应对它们。

在1980年代，互联网的扩展逐渐触及了全球科学研究系统。随着网络节点的显着增加，诸如拒绝服务攻击（DOS）之类的新攻击方法开始出现，这促使需要用于网络事故的应急机制。 1988年11月，美国康奈尔大学的研究生罗伯特·塔潘·莫里斯（ ）编写了一项自我复制计划，目的是探索互联网的规模和连接的设备的数量。该程序旨在能够在计算机之间行驶，并要求每台受感染的机器向控制服务器发送信号以进行计数。但是，该计划的传播速度远远超过预期，导致大约10％的互联网计算机被感染并迅速发展为对服务攻击的大规模拒绝。这次攻击使计算机使用UNIX操作系统瘫痪或半份量，造成了大约6000万美元的经济损失，即“莫里斯蠕虫”事件。普渡大学和伯克利大学的研究人员在经过72个小时的努力后成功停止了该病毒的传播。该事件不仅使互联网专家意识到了拒绝服务攻击的新方式，而且还促使卡内基·梅隆大学建立了世界上第一个计算机应急团队（CERT）。随后，美国联邦政府和大多数国家都建立了类似的组织，紧急响应成为应对大规模网络安全事故的基本机制。

在1990年代，互联网逐渐退出了“象牙塔”，进入了公共生活。同时，计算机病毒成为网络空间中常见的问题。随着21世纪的到来，互联网表现出巨大的商业潜力和价值，网络攻击的动机也从原始的“极客炫耀”变为主要转型，到实现政治，经济和社会目标，安全事件的影响范围和经济损失呈指数增长。 2000年爆发的VBS。通过电子邮件系统传播，感染了全球超过100万台计算机，当时约占全球网络计算机的10％，造成了超过100亿美元的经济。损失。该事件标志着当时的结束，当微软为追求新功能和便利而牺牲安全性时，全世界开始认真对待操作系统及其加载软件的安全性，同时通过电子邮件实现社会工程攻击的破坏性。此外，由于怀疑AIWA病毒是由菲律宾黑客创建的，这进一步凸显了网络犯罪的国际性质，并促使美国促使欧盟委员会于2001年签署《网络犯罪公约》。

2001年爆发的“代码红色”蠕虫利用了网络服务器软件中的漏洞来扩展，从而导致网络访问的大规模放缓甚至中断，从而导致全球经济损失高达107亿美元。 。 “红色代码”蠕虫的出现标志着蠕虫技术中的“先进”：这是第一个蠕虫以文件的形式不存在，而是直接在内存中传播，在没有用户点击的情况下感染了其他计算机，因此非常极端地球增加了传播的速度。该事件警告说，网络安全行业必须以更快的速度更新安全补丁，并且需要自动安装更新的工具。此外，由于该病毒将HTTP方案用作传输渠道，因此对响应部门实施安全阻滞和隔离提出了挑战，因此需要国家网络安全应急机制进行调整。除了建立国家级证书外，还必须将互联网运营商纳入应急合作系统中，以共同响应这种网络安全事件。

2003年1月，SQL蠕虫爆发爆发。它利用了SQL 2000中的缓冲区溢出脆弱性进行繁殖，在几分钟内迅速感染了75,000多台机器，并影响了全球250,000多个机器，成为迄今为止最快的传播病毒之一。在韩国，蠕虫为2700万人造成了互联网和移动网络服务的中断。在美国，大约13,000个ATM（ATM）暂时无法提供服务。尽管它不是零日的脆弱性，但它的迅速传播和广泛的影响再次提醒世界，修补系统脆弱性必须及时迅速，及时。随着2010年零日脆弱性概念的引入，已经提出了新的和更高的要求，以修复脆弱性修复和快速响应机制。

2010年，安全软件公司（）为运行XP操作系统的PC提供了有缺陷的病毒定义（DAT）文件。该文件错误地将关键系统文件.exe识别为病毒并删除，从而导致受影响的系统落入重新启动循环，无法连接到网络。事故影响了包括英特尔在内的几家《财富》 500强公司和全球组织，突出了安全软件公司可能造成的全球安全问题。

2017年6月，冒充勒索软件的爆发。该软件利用了服务器消息块（SMB）协议中的漏洞，该协议首先感染了80多家乌克兰公司，然后迅速传播到全球金融，运输，能源，商业设施和全球医疗保健等多个组织中的计算机。该系统造成了超过100亿美元的经济损失，被称为“有史以来经济上最具破坏性的网络攻击”。仅仅五个星期后，勒索软件席卷了整个世界，标志着勒索软件危机时代的开始。这两种软件都利用国家安全局（NSA）开发的利用工具“蓝色”，这使得勒索软件不再仅仅是网络犯罪的一种形式，而是对国家安全的严重威胁。它还揭示了美国网络武器的扩散带来的全球风险。

在2024年上半年，当地网络中断发生在世界各地。这些网络中断背后的原因是多种多样的，包括伴随着军事冲突和地缘政治危机的网络破坏，政府下令关闭网络以控制该国境内的大规模事件。黑客发起的网络攻击，由技术维护和停电引起的网络中断以及海底电缆截止的多次事件。根据互联网监控平台，全球网络中断一天的经济损失高达430亿美元。其中，美国和中国是受影响最大的两个国家，从互联网中损失了一天的损失，分别达到110亿美元和100亿美元。

从以上主要的全球停机事件可以看出，导致大规模停机事件的网络安全原因通常以快速传播，较大的影响范围和强大的链条效应为特征。这些事件容易出现社会运营障碍，巨大的经济损失和负面影响，例如公众恐慌，也极大地影响了公众对服务提供商的信任。但是，这些大规模的停机事件也迫使安全技术和机制，改善了相关法律，法规和监管措施，并提高了公众的安全意识。

在众多的网络停机事件中，此“ Blue ”事件的影响和损失超出了任何以前的事件。但是与过去不同，它不是由黑客攻击引起的，而是由于软件质量问题。这再次警告我们，关键软件和硬件已成为该国的重要组成部分，甚至成为世界关键的基础设施。随着世界稳定的操作越来越依赖数字基础架构，其安全问题不再限于网络安全，而包括信息安全性，网络安全性，IT安全性，运营（OT）安全性，物体安全性，物理/环境安全性，等等多个字段形成更广泛的安全概念。传统的网络安全概念和手段无法再满足日益复杂的安全需求，并且迫切需要建立一个内源性，更具弹性，敏捷和协作的网络安全防御系统。

2。确保我国家网络安全的“ Blue ”事件

目前，我的国家处于数字化转型的关键阶段。 “使用数字并授权情报进入云”正在加速，建立强大的数字安全障碍已成为一项紧迫的任务。

（i）软件和软件供应链的安全性仍然是安全的来源

随着全球数字转型的加速发展，数字世界和虚拟世界越来越融合，建立在数字基础架构的现代社会正在加速其形成。因此，数字“基础”的牢固性已成为所有事物的先决条件。在数字世界的“倒金字塔”结构中，软件操作系统及其安全系统构成了金字塔的基石。它们是网络安全的关键，也是数字基础架构的核心部分。

在这一“ Blue ”事件中，第三方公司发布的一个有缺陷的小型更新软件包击中了操作系统的“开放核”机制的弱点，从而导致整个主机系统发生大规模崩溃。实际上，在“ Blue ”事件发生前一个月，“中孔”公司经历了软件更新危机。当时，该公司发布了传感器检测逻辑的最新信息，但很快发现该更新可能会导致传感器完全占据主机的CPU资源。该公司很快采取了回滚措施，受影响的客户通过重新启动设备恢复了正常操作。但是，好运并没有再来。由此我们可以看到软件质量的重要性不容忽视。无论是软件缺陷，代码安全问题还是软件更新和维护，任何链接中的错误都可能触发链反应并导致安全系统崩溃。因此，我们必须从软件工程师的基础教育水平，采用内存安全的编程语言和内存安全的芯片架构，嵌入产品设计中的安全性和默认设置，从而提升“设计安全”和“默认安全”的概念，采用内存安全的编程语言，并采用内存安全的芯片架构。为了减少潜在的安全漏洞，从而改善了系统的整体安全性。

该事件再次强调了软件供应链安全的重要性，尤其是安全软件的供应链安全，包括供应商依赖东莞横沥律师，软件之间的适应性，软件更新管理的安全性，软件信任和认证系统以及独立且可控的产品等随着软件和硬件产品和数字系统中的组件的越来越多的复杂性，供应链产品已深入应用于国家关键基础设施和重要机构的信息系统/工业控制系统。根据预测，到2031年，对全球企业的软件供应链攻击的成本损失将近1380亿美元。

我的国家是世界上最大的软件市场之一，但是许多供应链公司的安全性不足或缺乏足够的安全投资，导致安全测试不足，这已成为网络安全链中的薄弱环节。为了系统地提高我国软件供应链的安全性，有必要对供应链网络安全功能的成熟度进行检查，评估和证明，以提高诊断和衡量软件安全性的能力。此外，建立高质量的网络安全行业生态系统，加强人才培训以及改善相关标准和法规也是不容忽视的事情。

（ii）没有完美的安全解决方案，只有与时代保持同步的保护功能

由于我国很少有安装和使用“王室”公司软件的系统，因此这种大规模的停机时间没有直接影响我的国家，但这并不意味着我们将来不会遇到类似的事故。这一“ Blue ”事件反映了网络安全面临的一些传统困境，例如在骨干和多样性之间，更高的安全性和更高权威之间以及封闭和开放性之间寻求平衡。解决这些困难的唯一方法是与时代保持同步，以提高安全保护能力。

该事件还警告我们，数字世界依靠一些单个技术平台非常危险。正如健康的生态系统需要生物多样性一样，数字世界也需要建立在多样性上。但是，数字技术的开发自然倾向于形成“平台”骨干系统，一旦形成了此类系统，它们就很难中断或替换，替换的时间和资源成本也很高，并且可能会引入新的安全性风险。因此，该解决方案不仅需要改善骨干系统的安全性，而且还需要减少对单个供应商的依赖。

为了全面掌握系统安全性并及时甚至提前做出响应，获得内核访问是目前最有效的方法。但是，如果如此高的权威失败或被黑客入侵，后果将是灾难性的。同样，如果主导软件不打开内核权限，则可能会引起对“垄断”的怀疑。 2006年横沥镇律师，微软试图完全依靠其自己的安全系统（WD）来限制对其内核上第三方软件的访问，以增强内核安全性。但是此举引发了网络安全制造商和欧盟“反理性”审查的抗议，微软最终做出了让步以允许软件进入。尽管这一决定导致了当今的一次重大事故，但“人群罢工”公司的安全概念和技术领先于传统的网络安全公司，并更好地适应了当前的安全需求。

（iii）紧急情况不是紧急响应，有必要建立敏捷的连锁警告和响应机制。

“金正日”公司在原始更新发布后的78分钟内发布了修复程序，但仍在安装了约850万个受软件更新故障影响的系统，预计损失数十亿美元。

随着全球数字转型的加速，物联网使不同领域的整合变得越来越紧密，网络系统的复杂性呈指数增长，紧急响应面临着多个挑战，例如困难的协调时间表，高误差成本，高时间压力和强烈的不确定性。 。安全事故的级联和系统性大大增加，也可能产生不可预测的出现影响，即单点网络攻击可能会导致其他领域的链条甚至雪崩效应。传统的树状或星形的应急响应模型无法再满足需求，并且有必要建立一个更敏捷，更平坦，有利于链接的新响应系统，并且可以更快地发挥其各自的专业知识。在2017年，勒索软件的高速和大规模感染表明，所有行业甚至每个用户都需要参与紧急响应，以形成“集体联合和集体预防”系统。

此外，只有响应是不够的。我们还需要“改变剩余的响应”，即涵盖对事件前响应的中间和事后响应，建立一个集成且聪明的大警告系统，并消除源头的危机。值得注意的是，“团体联合和团体防御”制度不应成为每个人战斗的“紧急响应”模型，而是要求各级组织制定事件响应（IR）计划和业务连续性手册以加强备份和恢复机制。 ，进行标准化的安全检查，更新和演习，以增强整个人的网络安全素养。对于影响社会稳定运作的关键系统，应保持适当的安全分离。尤其是在转换为智能时代的过程中，自动驾驶汽车，飞机等仍然需要使用安全分离来确保核心系统的安全并防止级联性安全事故。

数字安全挑战是无尽的全球问题。如今，随着网络空间越来越分散的，全球网络安全事件也使我们想起了全球协作的需求。

（本文发表在《中国信息安全》第七期，2024年）

东莞横沥镇律师?敬请于评论区发表高见，并对本文予以点赞及转发，以助广大读者把握法律与正义的界限。