面對(duì)產(chǎn)品安全漏洞問(wèn)題 公司應(yīng)采用何種處理方式?

2015-11-05 14:06:46來(lái)源:威易網(wǎng)作者:

百度作為一家以技術(shù)擅長(zhǎng)的互聯(lián)網(wǎng)公司,其完善的應(yīng)急響應(yīng)流程、積極的應(yīng)對(duì)措施為日后其他廠商面對(duì)安全事件時(shí)提供了可借鑒的方式和經(jīng)驗(yàn)。

在剛剛過(guò)去的10月,烏云漏洞平臺(tái)又爆出包括多款百度系A(chǔ)PP、口袋理財(cái)、萌萌聊天等應(yīng)用存在漏洞,稱(chēng)安卓手機(jī)在連接網(wǎng)絡(luò)后有被遠(yuǎn)程控制的風(fēng)險(xiǎn)。而諸多被爆的公司中,百度首先做出了回應(yīng),并成第一時(shí)間對(duì)應(yīng)用進(jìn)行了更新,完成了對(duì)漏洞的修補(bǔ)。

其實(shí)軟件漏洞被爆的事件并不少見(jiàn),但如何采取應(yīng)對(duì)措施、把用戶(hù)的損失降到最低,這其中還是非常有學(xué)問(wèn)的。

百度作為一家以技術(shù)擅長(zhǎng)的互聯(lián)網(wǎng)公司,其完善的應(yīng)急響應(yīng)流程、積極的應(yīng)對(duì)措施為日后其他廠商面對(duì)安全事件時(shí)提供了可借鑒的方式和經(jīng)驗(yàn)。

公司知名度與躺槍程度成正比

可能還有人記得,去年特斯拉因?yàn)榇嬖诎踩┒床⒁慌e攻破,一時(shí)輿論嘩然。這次事件引發(fā)了人們對(duì)車(chē)聯(lián)網(wǎng)安全性的擔(dān)憂(yōu)。但實(shí)際上,只要及時(shí)修復(fù)漏洞,升級(jí)軟件版本,發(fā)現(xiàn)問(wèn)題了改正就好,大驚小怪倒是真沒(méi)必要。

現(xiàn)實(shí)世界里,完美的系統(tǒng)從來(lái)不存在,只要系統(tǒng)不是“寫(xiě)死”的,存在升級(jí)、數(shù)據(jù)交互的條件,就可能會(huì)出現(xiàn)漏洞,只不過(guò)問(wèn)題暴露總是或早或晚而已。但由于知名互聯(lián)網(wǎng)企業(yè)擁有海量用戶(hù),一旦暴露漏洞就會(huì)受到廣泛關(guān)注。

但大型互聯(lián)網(wǎng)公司暴露問(wèn)題的影響也分兩面看,既然不知道上帝會(huì)把問(wèn)題的篩子擲向何方,那就必須時(shí)刻做好準(zhǔn)備,軟件更新、查找問(wèn)題源頭、修復(fù)漏洞的過(guò)程要求產(chǎn)品技術(shù)團(tuán)隊(duì)要既快速又準(zhǔn)確,在爭(zhēng)分奪秒斗智斗勇的過(guò)程中,其實(shí)非常考驗(yàn)公司實(shí)力,大型互聯(lián)網(wǎng)公司更容易從容應(yīng)對(duì)這類(lèi)事件。

領(lǐng)域內(nèi)的相關(guān)專(zhuān)家高度評(píng)價(jià)了百度在處理漏洞問(wèn)題上,快速的回應(yīng)和解決措施。同時(shí)發(fā)表評(píng)論表示,“很多時(shí)候,業(yè)內(nèi)也沒(méi)有必要將這類(lèi)事情盲目夸大,我看到業(yè)內(nèi)有利用這個(gè)機(jī)會(huì)攻擊競(jìng)爭(zhēng)對(duì)手,比如爆料百度自己開(kāi)發(fā)了4000多個(gè)APP都有漏洞,其實(shí)想想也不可能,這個(gè)就屬于惡意攻擊的行為了。”

不幸中的萬(wàn)幸,漏洞并未被黑客利用

幸運(yùn)的是,這一漏洞是被烏云曝光,而不是被黑客們發(fā)現(xiàn)。這就讓此次事件變成了一次危機(jī)防范,反而讓涉事的APP得到提前加固的機(jī)會(huì)。

比較惱人的是漏洞在被“白帽子”曝光之前被黑客發(fā)現(xiàn),這就讓黑客有機(jī)可乘。類(lèi)似的事件比比皆是:今年3月某著名社交應(yīng)用紅包曝出的漏洞;十幾天前被曝光的著名支付軟件實(shí)名認(rèn)證漏洞……不過(guò)事后大家都及時(shí)修補(bǔ)了漏洞,也算是不幸中的萬(wàn)幸。

互聯(lián)網(wǎng)行業(yè)中,“白帽子”是一個(gè)無(wú)害的群體,很多大型互聯(lián)網(wǎng)公司都采取各種獎(jiǎng)勵(lì)機(jī)制,建立應(yīng)急響應(yīng)中心,鼓勵(lì)“白帽子”主動(dòng)查找自己產(chǎn)品中存在的漏洞和問(wèn)題。只要能夠第一時(shí)間發(fā)現(xiàn)問(wèn)題所在,及時(shí)修復(fù)漏洞,即便是別有用心的人想趁此機(jī)會(huì)造些傷害出來(lái),可能也會(huì)撞上銅墻鐵壁。這次烏云曝光百度App存在漏洞,恰恰說(shuō)明了防御機(jī)制的作用是多么重要。

先解決產(chǎn)品問(wèn)題才是王道

此次百度的漏洞事件中,我們卻并未看到公關(guān)過(guò)多介入的痕跡,事件曝光兩天的時(shí)間里,我們看到的報(bào)道都還是直指問(wèn)題所在。這也顯示出,這次百度的應(yīng)對(duì)策略堅(jiān)持了正面面對(duì),并且一直在公布漏洞修復(fù)的進(jìn)展。

截止到10月30日24點(diǎn)之前,百度全系涉事APP都已經(jīng)緊急修復(fù)了漏洞,完成了新版本的升級(jí)上線,廣大用戶(hù)及時(shí)更新軟件即可修復(fù)漏洞。再加上此次漏洞只涉及到安卓手機(jī)應(yīng)用,蘋(píng)果用戶(hù)更是無(wú)需擔(dān)心。

媒體報(bào)道中透露,其實(shí)百度云安全的內(nèi)部安全團(tuán)隊(duì),在烏云曝出安全問(wèn)題之前,就已經(jīng)知曉了具體信息,并且發(fā)布內(nèi)部預(yù)警信息,全面啟動(dòng)應(yīng)急響應(yīng)流程,與相關(guān)產(chǎn)品團(tuán)隊(duì)進(jìn)行溝通,確定了修復(fù)方案。

筆者認(rèn)為,任何一家公司都應(yīng)當(dāng)有對(duì)于產(chǎn)品漏洞問(wèn)題的安全應(yīng)急響應(yīng)流程,像百度這樣擁有強(qiáng)大技術(shù)實(shí)力的公司經(jīng)過(guò)多年的積累,已經(jīng)打牢了基礎(chǔ),所以此次才能如此迅速的將漏洞修補(bǔ)。另一方面,產(chǎn)品有漏洞實(shí)屬于正,F(xiàn)象,通過(guò)此次事件也凸顯了百度的實(shí)力,其APP仍然是值得信賴(lài)的。

關(guān)鍵詞:安全漏洞