当前位置:网站首页 >> 生活

是时候停止那些安全怪象从安全峰会说起

时间:2019-05-14 21:20:51 来源:互联网 阅读:0次

笔者于11月3日,参加了腾讯举办的首届中国互联安全峰会,收获颇多,同仁们的观点碰撞,也引发了笔者对目前互联安全行业的一些思考。

络膨胀,漏洞难免

历史上,从没有哪一个时代,人类能如此快速高效地贴近人与他周围的环境:人与人之间,人与物之间,被互联以一种高效率、高智能的方式紧密地拉近,真正实现了虽隔万里,不过举手投足间,我们的时代和生活明显已经离不开互联。

但正如人类面对的物理环境、社会环境如此复杂一样,与之对应的互联系统也变得越来越庞大、越来越复杂。以至于到现在,没人能确切知道互联到底有多大。互联中存在大约1万亿个页,相比之下,人类大脑中的神经元也只有1000亿个。《连线》之父凯文凯利,早在2010年就于《科技需要什么》写道:平均每一个页都联接着其他60个页。大脑的体积是不会在几年内大幅改变的,但全球电脑的数量每隔几年就要翻一番。

更何况互联已经在向万物互联式的物联演进:Gartner估计,到2020年,使用的智能、平板电脑和PC数量将达到73亿台,而物联设备安装基数将达到260亿台。

而目前全球运行的服务器总量已超过5000万台,中国超过300万台;全球站总数超过10亿个,中国达357万个。

这些巨量的服务器、装备、站和应用组成了一个一定会处于浑沌状态的互联,没人能了解她的全部,随着她的高速发展,安全漏洞层见叠出。正如百度首席安全科学家韦韬博士说的:目前的互联的发展,软件的摩尔战争比硬件升级更快。安全不能跟上IT、互联的发展速度时,安全问题就会随之而来。

安全问题,避无可避

仅2014年,CNVD收录并发布各类安全漏洞9163个,较2013年增长16.7%,平均每月新增收录漏洞763个;其中高危漏洞2394个,占26.1%,可诱发零日攻击的漏洞3266个(即披露时厂商未提供补丁),占35.6%。

截止2015年,第三方安全报告平台乌云上,仅厂商确认和公开的漏洞就达到7万多个,而国内无论是安全投入还是安全从业人员数据都超群的BAT的漏洞每年也几十数百,有的漏洞甚至影响数亿用户,其他没有那么多安全投入的厂商的情况可想而知。

2015年,支付宝部分地区出现服务中断,后确认为机房电缆被挖;阿里云出现误删除用户文件,后确认为阿里云安全软件升级的bug而至;携程全宕机12小时,后确认为业务代码被误删;百度SDK存在wormhole漏洞,后确认为应用内搜索接口出现漏洞,并非被炒作的后门。而2013年,腾讯被爆出泄露7000多万个群,12亿部分重复号,后确认是11年的数据并且在当年的时候就已经修复。

以上数字和事实,只说明了一个事实:几乎没有哪个互联厂商没有漏洞,只是有的被炒作发酵了,而有的没有而已。安全上,没有哪个厂商能独善其身,没有哪个厂商、没有哪个组织、没有哪一个个人敢宣称自己完全没有安全问题。

雪中送炭?落井下石?

与安全问题无可避免这个事实形成鲜明对照地是,现在的安全圈,甚至整个互联圈,存在一个奇怪的现象:似乎特别希望对手出安全问题,系统天天被入侵,数据天天被盗,搞个天大的出来。一旦某个厂商真的出现安全问题,想到的不是伸出援助之手,表达善意,尽快帮助产品进行修复,帮助用户减少威胁和损失,而是马上发动公关,嘴下毫不留情,口诛笔伐,相互攻击。

让安全问题通过透明的途径暴露出来,进而到达推动漏洞修复、提升民安全意识的作用是必要的,但恶意的攻击和炒作就是另一回事。不能雪中送炭,少不要落井下石。今日对他人毫不留情,明日能确保自家不发生安全事件?

正如启明星辰首席战略官潘柱廷说的:应当给提出安全问题的人更好的生存环境,虽然暴露安全问题有副作用,但透明的方式,有利于推动漏洞的修复,迫使大家坐在一起解决问题。但也请互联公关嘴下留情,相互攻击,要不得,这会导致合作和心态上的隔阂。安全,不需要浮躁,不需要攻击,我们需要的是理性地相互合作。

危机时刻,心疼用户

今年9月,阿里云出现误删用户文件的安全事件,事件产生后,产品时间进行了漏洞修复,并采取各种措施补偿用户。诚如产品负责人说的:危机时刻,我们心疼的是用户。发生安全问题,积极主动的承担并快速修复;危机时刻,始终对用户充满敬畏之心。这类态度值得我们学习。

只是,我们心疼的应当不只是使用我们产品的用户,友商的产品出了问题,我们同样该报以同情而不是幸灾乐祸。为何?

看看这组数据:2015年9月,中国月活跃用户达1亿以上的APP有15款,活跃用户累计约40亿;活跃用户达百万以上的app超过500多款,活跃用户累计约300亿。而CNNIC于2015年10月发布的报告显示,中国民总范围为5.94亿。这说明,这5.94亿用户散布在各种运用和服务中很多产品用户是重合的,而且有的重合度还非常高:数以亿计。

用户不是报表上的1个个数字,而是一个个有血有肉的人,产品出了问题,我们是否也应该心疼下他们?他们的电脑上、上可能就正在用着我们的产品。

勿忘初心,携手共对

随着互联经济的升级,我们的观念也应该跟上,而不是固守着过去那种单打独斗的心态。既然安全漏洞没法避免,既然没法一家来应对层见叠出的安全漏洞,为何不携手共同面对新的安全挑战呢?虽然,在实际的操作中会遇到许多困难,比如商业问题导致不可能无保存的分享公司的安全数据,比如触及某些法律条款从而需要促进相关法规的完善等等,但这不能妨碍做安全的我们建立这类安全观念:快速发展的互联时期,惟有相互帮助,携手共对,才能面对更新、更复杂的安全挑战。

安全,应当而且一直是保护用户的武器,而不应异化为相互攻击的噱头。如果我们一味跟随商业利益,走得步子太快,无妨停下脚步想一想自己从事这个行业的初心何在,当初为了用户拥有一个更加安全健康的互联环境的愿景,是不是被商业利益胁迫了?我们从事安全是否不再是为了保障用户的资产安全,而成了厂商间相互攻击诋毁的手段?

无论是作为一个互联安全从业人员,还是作为使用页、使用APP的普通用户,我们都希望这个互联时期能多点温情,不要由于眼前的一点商业利益失去了底线,伤害了用户,伤害了互联业态,伤害了处于发展中的安全行业。

慢性宫颈炎吃什么好
治疗宫颈炎用的药物
白带多是什么原因

相关文章

一周热门

热点排行

热门精选

友情链接: 综合 装修攻略 如何用手机开微店 技术资讯
媒体合作:

Copyright (c) 2011 八零CMS 版权所有 Inc.All Rights Reserved. 备案号:京ICP0000001号

RSS订阅网站地图