近些年,烏云漏洞平臺上頻繁曝出軟件存在的漏洞,似乎軟件漏洞的存在早已經(jīng)成為群眾喜聞樂見的事情。這不,平臺近日又曝出包括多款百度系A(chǔ)PP、口袋理財、萌萌聊天等應(yīng)用存在漏洞,稱安卓手機在連接網(wǎng)絡(luò)后有被遠程控制的風險。事實上,每一款軟件都或多或少存在著些許漏洞,而產(chǎn)品的更新迭代就是在不斷發(fā)現(xiàn)和修補漏洞。
此次在眾多軟件廠商中,百度對漏洞修復(fù)的最為及時,凸顯了其應(yīng)有的技術(shù)和實力。在漏洞曝出的當天,百度稱已經(jīng)在第一時間完成了應(yīng)用修復(fù),截止到10月30日24點之前,百度系列產(chǎn)品安卓版本已完成新版本上線,用戶只需要升級到最新版本即可修復(fù)漏洞問題。
由于百度在互聯(lián)網(wǎng)行業(yè)當中的領(lǐng)頭羊地位,此次漏洞問題自然受到了更多的關(guān)注。然而其從發(fā)現(xiàn)、預(yù)警、到漏洞修復(fù)、提示升級,整個過程快速完成,并沒有給用戶造成任何實際損失。此次百度的應(yīng)急措施和處理方式,為其他廠商日后再應(yīng)對安全事件時提供了好的樣板。面對安全事件時公司應(yīng)當如何做?也許應(yīng)當看看百度的做法。
風口浪尖并不可怕,按部就班修補漏洞
公司的名氣越大,自然就更容易受到群眾的關(guān)注。可能還有人記得,去年特斯拉因為存在安全漏洞被一舉攻破,一時輿論嘩然。這次事件引發(fā)了人們對車聯(lián)網(wǎng)安全性的擔憂。但實際上,只要及時修復(fù)漏洞,升級軟件版本,發(fā)現(xiàn)問題了改正就好,大驚小怪倒是真沒必要。
現(xiàn)實世界里,完美的系統(tǒng)從來不存在,只要系統(tǒng)不是“寫死”的,存在升級、數(shù)據(jù)交互的條件,就可能會出現(xiàn)漏洞,只不過問題暴露總是或早或晚而已。但由于知名互聯(lián)網(wǎng)企業(yè)擁有海量用戶,一旦暴露漏洞就會受到廣泛關(guān)注。
但大型互聯(lián)網(wǎng)公司暴露問題的影響也分兩面看,既然不知道上帝會把問題的篩子擲向何方,那就必須時刻做好準備,軟件更新、查找問題源頭、修復(fù)漏洞的過程要求產(chǎn)品技術(shù)團隊要既快速又準確,在爭分奪秒斗智斗勇的過程中,其實非常考驗公司實力,大型互聯(lián)網(wǎng)公司更容易從容應(yīng)對這類事件。
防止惡意事件出現(xiàn),與“白帽子”共尋漏洞
其實漏洞在烏云平臺上曝出,算是一件幸運的事。因為這個漏洞并沒有被黑客所利用,反而讓安全事件變成了一次危機防范,讓涉事的APP得到提前加固的機會。
如果漏洞在被“白帽子”曝光之前被黑客發(fā)現(xiàn),就會讓黑客有機可乘。類似的事件比比皆是:今年3月某著名社交應(yīng)用紅包曝出的漏洞;十幾天前被曝光的著名支付軟件實名認證漏洞……不過事后大家都及時修補了漏洞,也算是不幸中的萬幸。
互聯(lián)網(wǎng)行業(yè)中,“白帽子”是一個無害的群體,很多大型互聯(lián)網(wǎng)公司都采取各種獎勵機制,建立應(yīng)急響應(yīng)中心,鼓勵“白帽子”主動查找自己產(chǎn)品中存在的漏洞和問題。只要能夠第一時間發(fā)現(xiàn)問題所在,及時修復(fù)漏洞,即便是別有用心的人想趁此機會造些傷害出來,可能也會撞上銅墻鐵壁。這次烏云曝光百度App存在漏洞,恰恰說明了防御機制的作用是多么重要。
用行動表明態(tài)度最重要
很多公司在把安全事件作為公司“負面”進行處理,第一時間關(guān)注到的是如何消除負面、啟動公關(guān)而不是迅速啟動漏洞修補程序。此次百度的漏洞事件中,我們并未看到公關(guān)過多介入的痕跡,事件曝光兩天的時間里,我們看到的報道都還是直指問題所在。這也顯示出,這次百度的應(yīng)對策略堅持了正面面對,并且一直在公布漏洞修復(fù)的進展。
所以,公司在面對安全事件時并不用太恐慌,就如群眾面對漏洞時一樣。只要在平時不斷完善自身的漏洞修復(fù)程序,并且修復(fù)流程能夠在第一時間啟動,把對用戶的影響降到最低,自然會收獲良好的口碑。就如此次百度云安全的內(nèi)部安全團隊,在烏云曝出安全問題之前,就已經(jīng)知曉了具體信息,并且發(fā)布內(nèi)部預(yù)警信息,全面啟動應(yīng)急響應(yīng)流程,與相關(guān)產(chǎn)品團隊進行溝通,確定了修復(fù)方案。
所以公司一定要在平時積累自身的技術(shù)實力,像百度一樣擁有成熟的安全應(yīng)急響應(yīng)流程,這樣在漏洞曝出時才能夠處變不驚,讓自身的產(chǎn)品繼續(xù)獲得用戶的信賴。