其实经过我们这些年的发展,目前网站安全已经做得非常好了,而且现在开发网站的开发人员也意识到了有非常多的应用层的漏洞,他们会在开发网站的时候杜绝这样一些漏洞的风险。 第三阶段,随着数据越来越重要,就产生了数据安全的威胁,这个时候的漏洞大部分是什么样的呢?有防护漏洞、零日漏洞、框架漏洞、自动化攻击漏洞、欺诈漏洞等,随着威胁和我们安全的升级,漏洞也是在不断转变的,这里面的一个规律是什么呢?其实最核心的规律就是黑客的入侵成本问题,也就是黑客会选择入侵成本更低、利益最大的方式。 任何新的平台,都会经历着这三个阶段,比如我们的智能手机。最早的智能手机系统是不安全的,那时候出现了大量的恶意软件,慢慢的升级到现在的安卓和苹果,系统会越来越安全,这时候就到了应用安全的阶段,就会有一些APP二次打包,在App里面植入恶意代码或者监听你的数据。而慢慢随着安全机制升级。黑客可能就会进入到第三个阶段,就是直接去攻击你的数据,窃取你存储在服务器上的数据,也会利用其他的驱动来窃取键盘数据等。 如何解决漏洞?未来何去何从? 我们大概对漏洞也非常的了解了,接下来我们该如何面对呢?也就是说我们的未来将何去何从?这里我先跟大家讲一下安全的本质,这是一张安全投入、威胁程度以及入侵成本的曲线图,大家可以仔细看一下这张图,其实它反映了非常多的问题。 其实安全这个事情就是一个黑与白的博弈。也就是说随着我们安全成本投入的提升,威胁就会越来越小,黑客的入侵成本也会提高,这也是大家有所共知的一个规律。但是这里面就牵扯到一个问题,就是我发现非常多的企业会进行全面的安全建设,花费大量的安全经费,但却没有达到这个曲线上所实现的效果,这究竟是为什么呢? 实际上很多企业没有把安全投入到最重要的方面,没有投入到与入侵成本有关的方面。所以在这种基础之上,我建议企业一定要学会利用黑客的思路进行布防,我们最关注的就是如何能够提高黑客的入侵成本,用黑客的视角来进行防御。 这里给大家列一些漏洞发现的工具:代码审计工具、漏洞扫描产品、渗透测试服务、众测服务、建立SRC(Security Response Center)。 巧用工具学会黑客的视角审视系统里面究竟有没有漏洞,按照黑客的入侵思路进行有效益的安全建设,这才能达到我们预期的期望。当然这些“工具”也有成本对比,优劣对比,我们漏洞银行也推出了更加适合企业的解决方案,这些都需要企业做好相关工作,切实选择适合自己的方案。 最后我再提一点就是我们今年颁布的《网络安全法》,这个也是非常重要的,是我们企业对付黑客违法行为非常重要的一个武器,也希望大家去看一下《网络安全法》的研读,有了立法就有了明确的法律武器,帮助企业打击黑客犯罪行为。 钛坦白群友互动: 1、请问“漏洞银行”,为什么称为银行呢? 张雪松:看来大家对这个品牌名称还是很感兴趣,为什么叫漏洞银行呢?首先我们漏洞银行平台,拥有大量的白帽为企业做漏洞挖掘和测试,用黑客视角帮助企业寻找威胁。他们会把漏洞提交给我们,其实每个漏洞都是有价值的,那我们认为这个如同是存取漏洞的银行,是一个非常形象的比喻,所以我们就取名漏洞银行了。 2、请问张总,我想知道黑客这么会隐藏自己的行踪,他们怎么找女朋友啊? 张雪松:这个问题问的非常好。首先很多黑客他们本身单身的比较多,同时他们有这样的一个特性:一旦圈内有新技术新的漏洞利用方式出现,他们会彻夜通宵来研究和利用漏洞,完全会把女朋友抛掷脑后,所以也确实会很难找到女朋友。 3、请问现在好多网站可以使用自己的微信授权,对于安全考虑是不是尽量避免这种授权? 张雪松:其实在很多应用里面都会进行微信授权,这里面一般来说,对方应用只能够拿到你的头像和昵称信息,微信授权接口没有授权微信号、手机号等隐私信息,所以只要你头像不用个人照片,昵称没有真实名称,一般没有太多风险。但是在大数据时代,这些授权页面收集到足够多的信息,再进行一个建模,然后会通过你的昵称和头像发现你的手机号和地址,这种情况就比较危险了。建议尽量少去进行这种授权,像一些比较知名的品牌或者是公众号,授权是没有问题的,其他不知名的网页就不要授权了。 4、请问现在如果一个初创公司要开发一款App,是不是需要与这样的安全机构合作? (责任编辑:本港台直播) |