產(chǎn)品安全漏洞“喜聞樂(lè)見(jiàn)” 從百度看企業(yè)應(yīng)對(duì)良策

2015-11-05 10:00:01來(lái)源:威易網(wǎng)作者:

近些年,烏云漏洞平臺(tái)上頻繁曝出軟件存在的漏洞,似乎軟件漏洞的存在早已經(jīng)成為群眾喜聞樂(lè)見(jiàn)的事情。這不,平臺(tái)近日又曝出包括多款百度系A(chǔ)PP、口袋理財(cái)、萌萌聊天等應(yīng)用存在漏洞,稱安卓手機(jī)在連接網(wǎng)絡(luò)后有被遠(yuǎn)程控制的風(fēng)險(xiǎn)。

近些年,烏云漏洞平臺(tái)上頻繁曝出軟件存在的漏洞,似乎軟件漏洞的存在早已經(jīng)成為群眾喜聞樂(lè)見(jiàn)的事情。這不,平臺(tái)近日又曝出包括多款百度系A(chǔ)PP、口袋理財(cái)、萌萌聊天等應(yīng)用存在漏洞,稱安卓手機(jī)在連接網(wǎng)絡(luò)后有被遠(yuǎn)程控制的風(fēng)險(xiǎn)。事實(shí)上,每一款軟件都或多或少存在著些許漏洞,而產(chǎn)品的更新迭代就是在不斷發(fā)現(xiàn)和修補(bǔ)漏洞。

此次在眾多軟件廠商中,百度對(duì)漏洞修復(fù)的最為及時(shí),凸顯了其應(yīng)有的技術(shù)和實(shí)力。在漏洞曝出的當(dāng)天,百度稱已經(jīng)在第一時(shí)間完成了應(yīng)用修復(fù),截止到10月30日24點(diǎn)之前,百度系列產(chǎn)品安卓版本已完成新版本上線,用戶只需要升級(jí)到最新版本即可修復(fù)漏洞問(wèn)題。

由于百度在互聯(lián)網(wǎng)行業(yè)當(dāng)中的領(lǐng)頭羊地位,此次漏洞問(wèn)題自然受到了更多的關(guān)注。然而其從發(fā)現(xiàn)、預(yù)警、到漏洞修復(fù)、提示升級(jí),整個(gè)過(guò)程快速完成,并沒(méi)有給用戶造成任何實(shí)際損失。此次百度的應(yīng)急措施和處理方式,為其他廠商日后再應(yīng)對(duì)安全事件時(shí)提供了好的樣板。面對(duì)安全事件時(shí)公司應(yīng)當(dāng)如何做?也許應(yīng)當(dāng)看看百度的做法。

風(fēng)口浪尖并不可怕,按部就班修補(bǔ)漏洞

公司的名氣越大,自然就更容易受到群眾的關(guān)注?赡苓有人記得,去年特斯拉因?yàn)榇嬖诎踩┒幢灰慌e攻破,一時(shí)輿論嘩然。這次事件引發(fā)了人們對(duì)車(chē)聯(lián)網(wǎng)安全性的擔(dān)憂。但實(shí)際上,只要及時(shí)修復(fù)漏洞,升級(jí)軟件版本,發(fā)現(xiàn)問(wèn)題了改正就好,大驚小怪倒是真沒(méi)必要。

現(xiàn)實(shí)世界里,完美的系統(tǒng)從來(lái)不存在,只要系統(tǒng)不是“寫(xiě)死”的,存在升級(jí)、數(shù)據(jù)交互的條件,就可能會(huì)出現(xiàn)漏洞,只不過(guò)問(wèn)題暴露總是或早或晚而已。但由于知名互聯(lián)網(wǎng)企業(yè)擁有海量用戶,一旦暴露漏洞就會(huì)受到廣泛關(guān)注。

但大型互聯(lián)網(wǎng)公司暴露問(wèn)題的影響也分兩面看,既然不知道上帝會(huì)把問(wèn)題的篩子擲向何方,那就必須時(shí)刻做好準(zhǔn)備,軟件更新、查找問(wèn)題源頭、修復(fù)漏洞的過(guò)程要求產(chǎn)品技術(shù)團(tuán)隊(duì)要既快速又準(zhǔn)確,在爭(zhēng)分奪秒斗智斗勇的過(guò)程中,其實(shí)非?简(yàn)公司實(shí)力,大型互聯(lián)網(wǎng)公司更容易從容應(yīng)對(duì)這類事件。

防止惡意事件出現(xiàn),與“白帽子”共尋漏洞

其實(shí)漏洞在烏云平臺(tái)上曝出,算是一件幸運(yùn)的事。因?yàn)檫@個(gè)漏洞并沒(méi)有被黑客所利用,反而讓安全事件變成了一次危機(jī)防范,讓涉事的APP得到提前加固的機(jī)會(huì)。

如果漏洞在被“白帽子”曝光之前被黑客發(fā)現(xiàn),就會(huì)讓黑客有機(jī)可乘。類似的事件比比皆是:今年3月某著名社交應(yīng)用紅包曝出的漏洞;十幾天前被曝光的著名支付軟件實(shí)名認(rèn)證漏洞……不過(guò)事后大家都及時(shí)修補(bǔ)了漏洞,也算是不幸中的萬(wàn)幸。

互聯(lián)網(wǎng)行業(yè)中,“白帽子”是一個(gè)無(wú)害的群體,很多大型互聯(lián)網(wǎng)公司都采取各種獎(jiǎng)勵(lì)機(jī)制,建立應(yīng)急響應(yīng)中心,鼓勵(lì)“白帽子”主動(dòng)查找自己產(chǎn)品中存在的漏洞和問(wèn)題。只要能夠第一時(shí)間發(fā)現(xiàn)問(wèn)題所在,及時(shí)修復(fù)漏洞,即便是別有用心的人想趁此機(jī)會(huì)造些傷害出來(lái),可能也會(huì)撞上銅墻鐵壁。這次烏云曝光百度App存在漏洞,恰恰說(shuō)明了防御機(jī)制的作用是多么重要。

用行動(dòng)表明態(tài)度最重要

很多公司在把安全事件作為公司“負(fù)面”進(jìn)行處理,第一時(shí)間關(guān)注到的是如何消除負(fù)面、啟動(dòng)公關(guān)而不是迅速啟動(dòng)漏洞修補(bǔ)程序。此次百度的漏洞事件中,我們并未看到公關(guān)過(guò)多介入的痕跡,事件曝光兩天的時(shí)間里,我們看到的報(bào)道都還是直指問(wèn)題所在。這也顯示出,這次百度的應(yīng)對(duì)策略堅(jiān)持了正面面對(duì),并且一直在公布漏洞修復(fù)的進(jìn)展。

所以,公司在面對(duì)安全事件時(shí)并不用太恐慌,就如群眾面對(duì)漏洞時(shí)一樣。只要在平時(shí)不斷完善自身的漏洞修復(fù)程序,并且修復(fù)流程能夠在第一時(shí)間啟動(dòng),把對(duì)用戶的影響降到最低,自然會(huì)收獲良好的口碑。就如此次百度云安全的內(nèi)部安全團(tuán)隊(duì),在烏云曝出安全問(wèn)題之前,就已經(jīng)知曉了具體信息,并且發(fā)布內(nèi)部預(yù)警信息,全面啟動(dòng)應(yīng)急響應(yīng)流程,與相關(guān)產(chǎn)品團(tuán)隊(duì)進(jìn)行溝通,確定了修復(fù)方案。

所以公司一定要在平時(shí)積累自身的技術(shù)實(shí)力,像百度一樣擁有成熟的安全應(yīng)急響應(yīng)流程,這樣在漏洞曝出時(shí)才能夠處變不驚,讓自身的產(chǎn)品繼續(xù)獲得用戶的信賴。

關(guān)鍵詞:百度安全漏洞