笔者于11月3日,参加了腾讯举办的首届中国互联网安全领袖峰会,收获颇多,同仁们的观点碰撞,也引发了笔者对目前互联网安全行业的一些思考。
网络膨胀,漏洞难免
历史上,从没有哪个时代,人类能如此快速高效地贴近人与他周围的环境:人与人之间,人与物之间,被互联网以一种高效率、高智能的方式紧密地拉近,真正实现了“虽隔万里,不过举手投足间”,我们的时代和生活显然已经离不开互联网。
但正如人类面对的物理环境、社会环境如此复杂一样,与之对应的互联网系统也变得越来越庞大、越来越繁杂。以至于到现在,没人能确切知道互联网到底有多大。“互联网中存在大约1万亿个网页,相比之下,人类大脑中的神经元也只有1000亿个。”《连线》之父凯文·凯利,早在2010年就于《科技需要什么》写道:“平均每个网页都联接着其他60个网页。大脑的体积是不会在几年内大幅改变的,但全球电脑的数量每隔几年就要翻一番。”
更何况互联网已经在向万物互联式的物联网演进:Gartner估计,到2020年,使用的智能手机、平板电脑和PC数量将达到73亿台,而物联网设备安装基数将达到260亿台。
而目前全球运行的服务器总量已超过5000万台,中国超过300万台;全球网站总数超过10亿个,中国达357万个。
这些巨量的服务器、设备、网站和应用组成了一个一定会处于混沌状态的互联网,没人能了解她的全部,随着她的高速发展,安全漏洞层出不穷。正如百度首席安全科学家韦韬博士说的:“目前的互联网的发展,软件的摩尔战争比硬件升级更快。安全不能跟上IT、互联网的发展速度时,安全问题就会随之而来。”
安全问题,避无可避
仅2014年,CNVD收录并发布各类安全漏洞9163个,较2013年增长16.7%,平均每月新增收录漏洞763个;其中高危漏洞2394个,占26.1%,可诱发零日攻击的漏洞3266个(即披露时厂商未提供补丁),占35.6%。
截止2015年,第三方安全报告平台乌云上,仅厂商确认和公开的漏洞就达到7万多个,而国内无论是安全投入还是安全从业人员数据都超群的BAT的漏洞每年也几十数百,有的漏洞甚至影响数亿用户,其他没有那么多安全投入的厂商的情况可想而知。
2015年,支付宝部分地区出现服务中断,后确认为机房电缆被挖;阿里云出现误删除用户文件,后确认为阿里云安全软件升级的bug所致;携程全网宕机12小时,后确认为业务代码被误删;百度SDK存在wormhole漏洞,后确认为应用内搜索接口出现漏洞,并非被炒作的后门。而2013年,腾讯被爆出泄露7000多万个QQ群,12亿部分重复QQ号,后确认是11年的数据并且在当年的时候就已经修复。
以上数字和事实,只说明了一个事实:几乎没有哪个互联网厂商没有漏洞,只是有的被炒作发酵了,而有的没有而已。安全上,没有哪个厂商能独善其身,没有哪个厂商、没有哪个组织、没有哪个个人敢声称自己完全没有安全问题。
雪中送炭?落井下石?
与安全问题无可避免这个事实形成鲜明比照地是,现在的安全圈,甚至整个互联网圈,存在一个奇怪的现象:似乎特别希望对手出安全问题,最好系统天天被入侵,最好数据天天被盗,最好搞个天大的新闻出来。一旦某个厂商真的出现安全问题,想到的不是伸出援助之手,表达善意,尽快帮助产品进行修复,帮助用户减少威胁和损失,而是马上发动公关,嘴下毫不留情,口诛笔伐,相互攻击。
让安全问题通过透明的途径暴露出来,进而达到推动漏洞修复、提升网民安全意识的作用是必要的,但恶意的攻击和炒作就是另一回事。不能雪中送炭,至少不要落井下石。今日对他人毫不留情,明日能确保自家不发生安全事件?
正如启明星辰首席战略官潘柱廷说的:“应该给提出安全问题的人更好的生存环境,虽然暴露安全问题有副作用,但透明的方式,有利于推动漏洞的修复,迫使大家坐在一起解决问题。但也请互联网公关嘴下留情,相互攻击,要不得,这会导致合作和心态上的隔阂。安全,不需要浮躁,不需要攻击,我们需要的是理性地相互合作。”
危机时刻,心疼用户
今年9月,阿里云出现误删用户文件的安全事件,事件发生后,产品第一时间进行了漏洞修复,并采取各种措施补偿用户。诚如产品负责人说的:危机时刻,我们心疼的是用户。发生安全问题,积极主动的承担责任并快速修复;危机时刻,始终对用户充满敬畏之心。这种态度值得我们学习。
只是,我们心疼的应该不只是使用我们产品的用户,友商的产品出了问题,我们同样该报以同情而不是幸灾乐祸。为什么?
看看这组数据:2015年9月,中国月活跃用户达1亿以上的APP有15款,活跃用户累计约40亿;活跃用户达百万以上的app超过500多款,活跃用户累计约300亿。而CNNIC于2015年10月发布的报告显示,中国手机网民总规模为5.94亿。这说明,这5.94亿用户分布在各种应用和服务中——很多产品用户是重合的,而且有的重合度还非常高:数以亿计。
用户不是报表上的一个个数字,而是一个个有血有肉的人,产品出了问题,我们是否也应该心疼下他们?他们的电脑上、手机上可能就正在用着我们的产品。
勿忘初心,携手共对
随着互联网经济的升级,我们的观念也应该跟上,而不是固守着过去那种单打独斗的心态。既然安全漏洞无法避免,既然无法一家来应对层出不穷的安全漏洞,为何不携手共同面对新的安全挑战呢?虽然,在实际的操作中会遇到许多困难,比如商业问题导致不可能无保留的分享公司的安全数据,比如触及某些法律条款从而需要促进相关法规的完善等等,但这不能妨碍做安全的我们建立这种安全观念:快速发展的互联网时代,唯有相互帮助,携手共对,才能面对更新、更复杂的安全挑战。
安全,应该而且一直是保护用户的武器,而不应异化为相互攻击的噱头。如果我们一味跟随商业利益,走得步子太快,不妨停下脚步想想自己从事这个行业的初心何在,当初为了用户拥有一个更加安全健康的互联网环境的愿景,是否被商业利益胁迫了?我们从事安全是否不再是为了保障用户的资产安全,而成了厂商间相互攻击诋毁的手段?
无论是作为一个互联网安全从业人员,还是作为使用网页、使用APP的普通用户,我们都希望这个互联网时代能多点温情,不要因为眼前的一点商业利益失去了底线,伤害了用户,伤害了互联网业态,伤害了处于发展中的安全行业。
