導語:最近幾日,上海的天氣格外冷,據說還要有一股弱冷空氣來襲,這種情景與許多公司的心情十分契合。
本周,有白帽子發布消息稱,智聯招聘存在安全漏洞,并已經造成86萬份用戶簡歷信息泄露。而就在12月4日,白帽子“路人甲”提交了一個名為“東方航空大量用戶訂單信息泄露”的漏洞,危害等級為高。加上今年上半年,攜程資料泄露事件,漏洞問題幾乎成了大部分網站的隱患。
不過,上述幾家公司在漏洞曝光之后,都及時做出了回應,比如,智聯招聘表示,漏洞中曝出的 IP 地址歸是一家新興招聘網站,被泄露信息的并不是智聯招聘的用戶。關于這份聲明,實際上一直爭議不斷,針對這一問題有不少討論。不過,在技術專家360網站安全總監趙武看來,這個爭論實際上是白帽子的技術語言與商業語言的無法契合導致的。
漏洞的定義有所不同
數據顯示,2013年,國內有超過95%的網站存在安全漏洞,40%的網站被植入后門,這些數據表明,幾乎所有網站都可能有漏洞,這個問題是長期存在的。為了保護網站安全,部分大公司建立了SRC(安全應急響應中心),能夠發動全網白帽子為企業提交漏洞。但是,大部分企業沒有建立SRC。但這些企業對安全隱患是心知肚明的,它們當然不想問題暴露,所以問題的關鍵在于,企業如何與發現漏洞的白帽子進行溝通。之所以還會出現類似攜程、智聯招聘等公司的問題,主要有兩個原因。
第一,白帽子發現漏洞后遞交時存在顧慮。360網站安全總監趙武表示,刑法修正案有一項規定,如果安全人員獲取了敏感信息或提供了安全工具,有可能觸犯刑法。所以,當白帽子找到了網站的漏洞,由于涉嫌觸犯刑法,白帽子會考慮要不要告訴企業。而此前,有過這樣的案例,當白帽子告知企業網站存在漏洞時,廠商直接報警抓人。因此,白帽子不敢將漏洞報告給企業,隱患最終爆發也就很常見了。
第二,企業對漏洞的定義存在誤區。即便企業能夠接受白帽子提供的漏洞,在趙武看來,雙方對漏洞嚴重程度的評估存在分歧。對企業來說,某個漏洞也許不涉及核心部分,也就不嚴重。但在技術人員看來,這一漏洞存在很大的隱患,通過此漏洞侵入網站核心部分是很容易的。雙方在定級方面存在分歧,一旦談不攏,漏洞很有可能會被曝光。
綜上所述,如果沒有SRC,企業與白帽子溝通起來是很困難的,對雙方來說,都存在一定的風險,需要有一個中間方協調二者的關系。
平臺作用:讓技術語言與商業語言契合
如果能像大企業一樣,為其他企業建立SRC,有兩個優點,一是能夠讓企業變被動為主動,主動發現網站的漏洞;二是有助有建立長效機制,保證企業避免受到攻擊。在這種情況下,360成立了補天平臺。
補天平臺主要的作用是幫助企業建立SRC(安全應急響應中心),建立起廠商與白帽子之間的橋梁,最大程度避免企業由于安全漏洞遭受損失,讓白帽子獲得收益。在趙武看來,這樣可以保證白帽子與企業的利益。
第一,白帽子能夠獲得收益,增加動力。補天平臺可以建立一個有效的機制,企業為白帽子找到的漏洞支付報酬,發現漏洞的白帽子則將獲得與辛勞相匹配的物質獎勵,這樣一來,白帽子就會更有動力。據趙武透露,有白帽子通過找漏洞,一個周可以拿到幾千塊錢,這對白帽子來說是一個相當大的激勵。如果白帽子與企業對漏洞的定性依然存在問題,那么補天平臺會作為調停方進行協調,平臺的作用就發揮了出來。
第二,漏洞不會公開,防止被競爭對手利用。將漏洞毫無保留地公布,很有可能會被競爭對手和黑客利用,導致企業遭受到輿論壓力,面臨更大的被攻擊的風險。而在補天平臺上,除了漏洞發現者和相關企業之外,所有其他人員均不能看到漏洞相關細節,企業便可以安心修補漏洞。
綜合來看,補天平臺能夠兼顧網站站長、白帽子和第三方建站程序廠商的共同利益。便可以讓技術的“驢唇”和商業的“馬嘴”對上。
寫在最后:
攜程、智聯招聘等網站是無辜的,因為沒有百分之百的安全,總會不斷有漏洞出現。關鍵在于這個漏洞是被誰發現的,如何協調的。如果協調地順利,事情便不會發酵,企業利益也就能夠保障。
D1Net評論:
從目前來看,之所以黑客大行其道,主要還是利益相關,如果在將來,能夠讓白帽子的收入達到甚至超過黑客,對于整個網絡安全環境都是一件功德無量的事情,然而,就目前網絡安全形勢而言,這只是美好的愿景而已。