近些年,乌云漏洞平台上频繁曝出软件存在的漏洞,似乎软件漏洞的存在早已经成为群众喜闻乐见的事情。这不,平台近日又曝出包括多款百度系APP、口袋理财、萌萌聊天等应用存在漏洞,称安卓手机在连接网络后有被远程控制的风险。事实上,每一款软件都或多或少存在着些许漏洞,而产品的更新迭代就是在不断发现和修补漏洞。
此次在众多软件厂商中,百度对漏洞修复的最为及时,凸显了其应有的技术和实力。在漏洞曝出的当天,百度称已经在第一时间完成了应用修复,截止到10月30日24点之前,百度系列产品安卓版本已完成新版本上线,用户只需要升级到最新版本即可修复漏洞问题。
由于百度在互联网行业当中的领头羊地位,此次漏洞问题自然受到了更多的关注。然而其从发现、预警、到漏洞修复、提示升级,整个过程快速完成,并没有给用户造成任何实际损失。此次百度的应急措施和处理方式,为其他厂商日后再应对安全事件时提供了好的样板。面对安全事件时公司应当如何做?也许应当看看百度的做法。
风口浪尖并不可怕,按部就班修补漏洞
公司的名气越大,自然就更容易受到群众的关注。可能还有人记得,去年特斯拉因为存在安全漏洞被一举攻破,一时舆论哗然。这次事件引发了人们对车联网安全性的担忧。但实际上,只要及时修复漏洞,升级软件版本,发现问题了改正就好,大惊小怪倒是真没必要。
现实世界里,完美的系统从来不存在,只要系统不是“写死”的,存在升级、数据交互的条件,就可能会出现漏洞,只不过问题暴露总是或早或晚而已。但由于知名互联网企业拥有海量用户,一旦暴露漏洞就会受到广泛关注。
但大型互联网公司暴露问题的影响也分两面看,既然不知道上帝会把问题的筛子掷向何方,那就必须时刻做好准备,软件更新、查找问题源头、修复漏洞的过程要求产品技术团队要既快速又准确,在争分夺秒斗智斗勇的过程中,其实非常考验公司实力,大型互联网公司更容易从容应对这类事件。
防止恶意事件出现,与“白帽子”共寻漏洞
其实漏洞在乌云平台上曝出,算是一件幸运的事。因为这个漏洞并没有被黑客所利用,反而让安全事件变成了一次危机防范,让涉事的APP得到提前加固的机会。
如果漏洞在被“白帽子”曝光之前被黑客发现,就会让黑客有机可乘。类似的事件比比皆是:今年3月某著名社交应用红包曝出的漏洞;十几天前被曝光的著名支付软件实名认证漏洞……不过事后大家都及时修补了漏洞,也算是不幸中的万幸。
互联网行业中,“白帽子”是一个无害的群体,很多大型互联网公司都采取各种奖励机制,建立应急响应中心,鼓励“白帽子”主动查找自己产品中存在的漏洞和问题。只要能够第一时间发现问题所在,及时修复漏洞,即便是别有用心的人想趁此机会造些伤害出来,可能也会撞上铜墙铁壁。这次乌云曝光百度App存在漏洞,恰恰说明了防御机制的作用是多么重要。
用行动表明态度最重要
很多公司在把安全事件作为公司“负面”进行处理,第一时间关注到的是如何消除负面、启动公关而不是迅速启动漏洞修补程序。此次百度的漏洞事件中,我们并未看到公关过多介入的痕迹,事件曝光两天的时间里,我们看到的报道都还是直指问题所在。这也显示出,这次百度的应对策略坚持了正面面对,并且一直在公布漏洞修复的进展。
所以,公司在面对安全事件时并不用太恐慌,就如群众面对漏洞时一样。只要在平时不断完善自身的漏洞修复程序,并且修复流程能够在第一时间启动,把对用户的影响降到最低,自然会收获良好的口碑。就如此次百度云安全的内部安全团队,在乌云曝出安全问题之前,就已经知晓了具体信息,并且发布内部预警信息,全面启动应急响应流程,与相关产品团队进行沟通,确定了修复方案。
所以公司一定要在平时积累自身的技术实力,像百度一样拥有成熟的安全应急响应流程,这样在漏洞曝出时才能够处变不惊,让自身的产品继续获得用户的信赖。