【钛坦白】漏洞银行CTO张雪松：企业遭遇黑客入侵的原罪——漏洞

2017-08-18 11:52 来源:钛媒体 操作系统 /技术

原标题：【钛坦白】漏洞银行CTO张雪松：企业遭遇黑客入侵的原罪——漏洞

图片来源：视觉中国

在钛媒体在线课“钛坦白”第50期，我们邀请了三位钛客讲讲企业要如何应对信息安全问题。本期钛客之一、漏洞银行联合创始人、CTO张雪松，拥有10年网络安全研究经验，擅长网络协议分析技术。曾负责研发Web宙斯盾、玄武域等Web应用防护产品。首创的ITS入侵追踪设备曾获得全国创新创业大赛银奖。张雪松曾为众多大型企业设计安全方案，现负责漏洞银行平台生态建设与企业安全产品研发。

本文节选自张雪松在钛坦白的分享。如果您还不是钛媒体Pro用户，希望查看钛坦白所有干货，进入钛坦白九个专业群交流，并查看更丰富的专业数据和信息，可点击： 注册。

以下根据张雪松在钛坦白的分享实录整理：

大家好，很高兴受邀来钛媒体做这次主题分享。首先先简单的介绍一下我的情况吧。我从事网络安全技术已经有十多年了，目前是漏洞银行的技术总监。我曾经做过程序开发人员，也做过网络黑客，在信息安全方面我既做过防守方，也做过攻击方，所以今天我想给大家带来更加全面的视角，来审视网络安全问题。

我平时经常会被企业高管问道：“有没有办法能够彻底解决黑客入侵的问题？”其实这个问题并不能简单的讲有或没有，而是我们如何来看清楚网络安全的本质问题？如何来探究企业及网络安全中的攻防之道？我将在本次分享之中带领大家进行一次网络安全的探究之旅。

回顾我们身边的安全大事

首先带领大家来回顾一下我们身边的安全大事。从最早的2011年开始，我们来把这些安全大事件回顾一下，这样能有一个清晰的认识。这些信息来自于互联网和媒体报道。

2011年。这一年实际上非常不平凡。我们国内最大的技术网站CSDN遭遇了最严重的安全事故，超过一亿的用户名和密码遭到了泄露，同年黑客爆出了其他各大知名网站的数据库。这些数据库主要包含用户名、密码等信息。同年在国际上，国际货币基金组织、花旗银行、索尼影业，Facebook也同样遭遇了黑客入侵，用户的保密信息都遭到了窃取和泄露。

2012年。同样也是不平凡的一年，京东商城出现了重大的支付漏洞，损失达两亿，当然官方称已经修复并且报警了。同年全球百所大学，还有linkin、雅虎等知名网站的用户名和密码也均遭到了泄露，最严重的是Symantec和VMware的源代码遭受到了黑客的盗取。

2013年。爆发了严重的Struts2漏洞。这个漏洞引发了全国各大机构和知名网站的紧急修复工作，同时也让一些知名网站的数据遭到了泄露。当然国内同年还发生了一个比较重大的事件，那就是开房数据被黑客泄露，黑客入侵到了酒店的管理系统里，酒店的开房信息包括身份证、姓名、手机号等开房信息遭到盗取和泄露，这个也是影响非常大的。同年国外的美国银行、彭博社、苹果、Facebook、Twitter这些知名的网站其实也相继遭受到了黑客的入侵，用户的数据也遭到了泄露和曝光。这一年还爆出了棱镜门事件，引发了大众对于网络安全和隐私安全的思考。

2014年。爆出了携程网的一个重大支付漏洞，携程网泄露了部分用户的信用卡信息，导致某些用户的信用卡遭到了盗刷。同年还有OpenSSL“心脏出血”的漏洞，漏洞影响非常的大，黑客可通过这个漏洞获取到登陆网站的用户名和其他相关的信息。据当时的不完全统计，国内大部分的知名网购、网银、社交门户等网站，都遭遇到了此漏洞的影响，这次事件至少影响了两亿中国网民。同年特斯拉电动汽车也被首次攻破，黑客可以远程的控制这辆汽车，开锁、鸣笛等操作。

2015年。机锋网、大麦网、网易、申通快递、中国人寿等知名网站都遭受了用户信息泄露事件，影响上亿用户的隐私。同年也有一些重要单位遭遇黑客入侵，有接近超过五千万条社保个人信息遭到泄露，其中包括个人的身份证、社保参保的信息，财务、薪酬、房屋等一些敏感的信息。同年美国人事管理办实事也被黑客入侵，超过有2700万条的信息泄露，泄露事件引起了美国和西方世界的恐慌，因为这样的个人信息泄露，实际上是与民众生活息息相关。