技术 “驴唇”如何配商业 “马嘴”

  之所以黑客大行其道,主要还是利益相关,如果在将来,能够让白帽子的收入达到甚至超过黑客,对于整个网络安全环境都是一件功德无量的事情。

  这几天的北京格外冷,据说还要有一股弱冷空气来袭,这种情景与许多公司的心情十分契合。本周,有白帽子发布消息称,智联招聘存在安全漏洞,并已经造成86万份用户简历信息泄露。而就在12月4日,白帽子“路人甲”提交了一个名为“东方航空大量用户订单信息泄露”的漏洞,危害等级为高。加上今年上半年,携程资料泄露事件,漏洞问题几乎成了大部分网站的隐患。

  不过,上述几家公司在漏洞曝光之后,都及时做出了回应,比如,智联招聘表示,漏洞中曝出的 IP 地址归是一家新兴招聘网站,被泄露信息的并不是智联招聘的用户。关于这份声明,实际上一直争议不断,针对这一问题有不少讨论。不过,在技术专家360网站安全总监赵武看来,这个争论实际上是白帽子的技术语言与商业语言的无法契合导致的。

  漏洞的定义有所不同

  数据显示,2013年,国内有超过95%的网站存在安全漏洞,40%的网站被植入后门,这些数据表明,几乎所有网站都可能有漏洞,这个问题是长期存在的。为了保护网站安全,部分大公司建立了SRC(安全应急响应中心),能够发动全网白帽子为企业提交漏洞。但是,大部分企业没有建立SRC。但这些企业对安全隐患是心知肚明的,它们当然不想问题暴露,所以问题的关键在于,企业如何与发现漏洞的白帽子进行沟通。之所以还会出现类似携程、智联招聘等公司的问题,主要有两个原因。

  第一,白帽子发现漏洞后递交时存在顾虑。360网站安全总监赵武表示,刑法修正案有一项规定,如果安全人员获取了敏感信息或提供了安全工具,有可能触犯刑法。所以,当白帽子找到了网站的漏洞,由于涉嫌触犯刑法,白帽子会考虑要不要告诉企业。而此前,有过这样的案例,当白帽子告知企业网站存在漏洞时,厂商直接报警抓人。因此,白帽子不敢将漏洞报告给企业,隐患最终爆发也就很常见了。

  第二,企业对漏洞的定义存在误区。即便企业能够接受白帽子提供的漏洞,在赵武看来,双方对漏洞严重程度的评估存在分歧。对企业来说,某个漏洞也许不涉及核心部分,也就不严重。但在技术人员看来,这一漏洞存在很大的隐患,通过此漏洞侵入网站核心部分是很容易的。双方在定级方面存在分歧,一旦谈不拢,漏洞很有可能会被曝光。

  综上所述,如果没有SRC,企业与白帽子沟通起来是很困难的,对双方来说,都存在一定的风险,需要有一个中间方协调二者的关系。

  平台作用:让技术语言与商业语言契合

  在赵武看来,如果能像大企业一样,为其他企业建立SRC,有两个优点,一是能够让企业变被动为主动,主动发现网站的漏洞;二是有助有建立长效机制,保证企业避免受到攻击。在这种情况下,360成立了补天平台。

  补天平台主要的作用是帮助企业建立SRC(安全应急响应中心),建立起厂商与白帽子之间的桥梁,最大程度避免企业由于安全漏洞遭受损失,让白帽子获得收益。在赵武看来,这样可以保证白帽子与企业的利益。

  第一,白帽子能够获得收益,增加动力。补天平台可以建立一个有效的机制,企业为白帽子找到的漏洞支付报酬,发现漏洞的白帽子则将获得与辛劳相匹配的物质奖励,这样一来,白帽子就会更有动力。据赵武透露,有白帽子通过找漏洞,一个周可以拿到几千块钱,这对白帽子来说是一个相当大的激励。如果白帽子与企业对漏洞的定性依然存在问题,那么补天平台会作为调停方进行协调,平台的作用就发挥了出来。

  第二,漏洞不会公开,防止被竞争对手利用。将漏洞毫无保留地公布,很有可能会被竞争对手和黑客利用,导致企业遭受到舆论压力,面临更大的被攻击的风险。而在补天平台上,除了漏洞发现者和相关企业之外,所有其他人员均不能看到漏洞相关细节,企业便可以安心修补漏洞。

  综合来看,补天平台能够兼顾网站站长、白帽子和第三方建站程序厂商的共同利益。便可以让技术的“驴唇”和商业的“马嘴”对上。

  写在最后:

  携程、智联招聘等网站是无辜的,因为没有百分之百的安全,总会不断有漏洞出现。关键在于这个漏洞是被谁发现的,如何协调的。如果协调地顺利,事情便不会发酵,企业利益也就能够保障。

  关于网络安全,赵武表示,“希望能让白帽子将爱好变成职业”。目前来看,之所以黑客大行其道,主要还是利益相关,如果在将来,能够让白帽子的收入达到甚至超过黑客,对于整个网络安全环境都是一件功德无量的事情。

 

发表评论

邮箱地址不会被公开。 必填项已用*标注