是時候停止那些安全怪象:從安全領袖峯會説起

2015-11-06

筆者於11月3日，參加了騰訊舉辦的首屆中國互聯網安全領袖峯會，收穫頗多，同仁們的觀點碰撞，也引發了筆者對目前互聯網安全行業的一些思考。

網絡膨脹，漏洞難免

歷史上，從沒有哪個時代，人類能如此快速高效地貼近人與他周圍的環境：人與人之間，人與物之間，被互聯網以一種高效率、高智能的方式緊密地拉近，真正實現了“雖隔萬里，不過舉手投足間”，我們的時代和生活顯然已經離不開互聯網。

但正如人類面對的物理環境、社會環境如此複雜一樣，與之對應的互聯網系統也變得越來越龐大、越來越繁雜。以至於到現在，沒人能確切知道互聯網到底有多大。“互聯網中存在大約1萬億個網頁，相比之下，人類大腦中的神經元也只有1000億個。”《連線》之父凱文·凱利，早在2010年就於《科技需要什麼》寫道：“平均每個網頁都聯接着其他60個網頁。大腦的體積是不會在幾年內大幅改變的，但全球電腦的數量每隔幾年就要翻一番。”

更何況互聯網已經在向萬物互聯式的物聯網演進：Gartner估計，到2020年，使用的智能手機、平板電腦和PC數量將達到73億台，而物聯網設備安裝基數將達到260億台。

而目前全球運行的服務器總量已超過5000萬台，中國超過300萬台;全球網站總數超過10億個，中國達357萬個。

這些巨量的服務器、設備、網站和應用組成了一個一定會處於混沌狀態的互聯網，沒人能瞭解她的全部，隨着她的高速發展，安全漏洞層出不窮。正如百度首席安全科學家韋韜博士説的：“目前的互聯網的發展，軟件的摩爾戰爭比硬件升級更快。安全不能跟上IT、互聯網的發展速度時，安全問題就會隨之而來。”

安全問題，避無可避

僅2014年，CNVD收錄併發布各類安全漏洞9163個，較2013年增長16.7%，平均每月新增收錄漏洞763個;其中高危漏洞2394個，佔26.1%，可誘發零日攻擊的漏洞3266個(即披露時廠商未提供補丁)，佔35.6%。

截止2015年，第三方安全報告平台烏雲上，僅廠商確認和公開的漏洞就達到7萬多個，而國內無論是安全投入還是安全從業人員數據都超羣的BAT的漏洞每年也幾十數百，有的漏洞甚至影響數億用户，其他沒有那麼多安全投入的廠商的情況可想而知。

2015年，支付寶部分地區出現服務中斷，後確認為機房電纜被挖;阿里雲出現誤刪除用户文件，後確認為阿里雲安全軟件升級的bug所致;攜程全網宕機12小時，後確認為業務代碼被誤刪;百度SDK存在wormhole漏洞，後確認為應用內搜索接口出現漏洞，並非被炒作的後門。而2013年，騰訊被爆出泄露7000多萬個QQ羣，12億部分重複QQ號，後確認是11年的數據並且在當年的時候就已經修復。

以上數字和事實，只説明瞭一個事實：幾乎沒有哪個互聯網廠商沒有漏洞，只是有的被炒作發酵了，而有的沒有而已。安全上，沒有哪個廠商能獨善其身，沒有哪個廠商、沒有哪個組織、沒有哪個個人敢聲稱自己完全沒有安全問題。

雪中送炭?落井下石?

與安全問題無可避免這個事實形成鮮明比照地是，現在的安全圈，甚至整個互聯網圈，存在一個奇怪的現象：似乎特別希望對手出安全問題，最好系統天天被入侵，最好數據天天被盜，最好搞個天大的新聞出來。一旦某個廠商真的出現安全問題，想到的不是伸出援助之手，表達善意，儘快幫助產品進行修復，幫助用户減少威脅和損失，而是馬上發動公關，嘴下毫不留情，口誅筆伐，相互攻擊。

讓安全問題通過透明的途徑暴露出來，進而達到推動漏洞修復、提升網民安全意識的作用是必要的，但惡意的攻擊和炒作就是另一回事。不能雪中送炭，至少不要落井下石。今日對他人毫不留情，明日能確保自家不發生安全事件?

正如啓明星辰首席戰略官潘柱廷説的：“應該給提出安全問題的人更好的生存環境，雖然暴露安全問題有副作用，但透明的方式，有利於推動漏洞的修復，迫使大家坐在一起解決問題。但也請互聯網公關嘴下留情，相互攻擊，要不得，這會導致合作和心態上的隔閡。安全，不需要浮躁，不需要攻擊，我們需要的是理性地相互合作。”

危機時刻，心疼用户

今年9月，阿里雲出現誤刪用户文件的安全事件，事件發生後，產品第一時間進行了漏洞修復，並採取各種措施補償用户。誠如產品負責人説的：危機時刻，我們心疼的是用户。發生安全問題，積極主動的承擔責任並快速修復;危機時刻，始終對用户充滿敬畏之心。這種態度值得我們學習。

只是，我們心疼的應該不只是使用我們產品的用户，友商的產品出了問題，我們同樣該報以同情而不是幸災樂禍。為什麼?

看看這組數據：2015年9月，中國月活躍用户達1億以上的APP有15款，活躍用户累計約40億;活躍用户達百萬以上的app超過500多款，活躍用户累計約300億。而CNNIC於2015年10月發佈的報告顯示，中國手機網民總規模為5.94億。這説明，這5.94億用户分佈在各種應用和服務中——很多產品用户是重合的，而且有的重合度還非常高：數以億計。

用户不是報表上的一個個數字，而是一個個有血有肉的人，產品出了問題，我們是否也應該心疼下他們?他們的電腦上、手機上可能就正在用着我們的產品。

勿忘初心，攜手共對

隨着互聯網經濟的升級，我們的觀念也應該跟上，而不是固守着過去那種單打獨鬥的心態。既然安全漏洞無法避免，既然無法一家來應對層出不窮的安全漏洞，為何不攜手共同面對新的安全挑戰呢?雖然，在實際的操作中會遇到許多困難，比如商業問題導致不可能無保留的分享公司的安全數據，比如觸及某些法律條款從而需要促進相關法規的完善等等，但這不能妨礙做安全的我們建立這種安全觀念：快速發展的互聯網時代，唯有相互幫助，攜手共對，才能面對更新、更復雜的安全挑戰。

安全，應該而且一直是保護用户的武器，而不應異化為相互攻擊的噱頭。如果我們一味跟隨商業利益，走得步子太快，不妨停下腳步想想自己從事這個行業的初心何在，當初為了用户擁有一個更加安全健康的互聯網環境的願景，是否被商業利益脅迫了?我們從事安全是否不再是為了保障用户的資產安全，而成了廠商間相互攻擊詆譭的手段?

無論是作為一個互聯網安全從業人員，還是作為使用網頁、使用APP的普通用户，我們都希望這個互聯網時代能多點温情，不要因為眼前的一點商業利益失去了底線，傷害了用户，傷害了互聯網業態，傷害了處於發展中的安全行業。