面对产品安全漏洞问题 公司应采用何种处理方式?

2015-11-05 14:06:46来源:威易网作者:

百度作为一家以技术擅长的互联网公司,其完善的应急响应流程、积极的应对措施为日后其他厂商面对安全事件时提供了可借鉴的方式和经验。

在刚刚过去的10月,乌云漏洞平台又爆出包括多款百度系APP、口袋理财、萌萌聊天等应用存在漏洞,称安卓手机在连接网络后有被远程控制的风险。而诸多被爆的公司中,百度首先做出了回应,并成第一时间对应用进行了更新,完成了对漏洞的修补。

其实软件漏洞被爆的事件并不少见,但如何采取应对措施、把用户的损失降到最低,这其中还是非常有学问的。

百度作为一家以技术擅长的互联网公司,其完善的应急响应流程、积极的应对措施为日后其他厂商面对安全事件时提供了可借鉴的方式和经验。

公司知名度与躺枪程度成正比

可能还有人记得,去年特斯拉因为存在安全漏洞并一举攻破,一时舆论哗然。这次事件引发了人们对车联网安全性的担忧。但实际上,只要及时修复漏洞,升级软件版本,发现问题了改正就好,大惊小怪倒是真没必要。

现实世界里,完美的系统从来不存在,只要系统不是“写死”的,存在升级、数据交互的条件,就可能会出现漏洞,只不过问题暴露总是或早或晚而已。但由于知名互联网企业拥有海量用户,一旦暴露漏洞就会受到广泛关注。

但大型互联网公司暴露问题的影响也分两面看,既然不知道上帝会把问题的筛子掷向何方,那就必须时刻做好准备,软件更新、查找问题源头、修复漏洞的过程要求产品技术团队要既快速又准确,在争分夺秒斗智斗勇的过程中,其实非常考验公司实力,大型互联网公司更容易从容应对这类事件。

领域内的相关专家高度评价了百度在处理漏洞问题上,快速的回应和解决措施。同时发表评论表示,“很多时候,业内也没有必要将这类事情盲目夸大,我看到业内有利用这个机会攻击竞争对手,比如爆料百度自己开发了4000多个APP都有漏洞,其实想想也不可能,这个就属于恶意攻击的行为了。”

不幸中的万幸,漏洞并未被黑客利用

幸运的是,这一漏洞是被乌云曝光,而不是被黑客们发现。这就让此次事件变成了一次危机防范,反而让涉事的APP得到提前加固的机会。

比较恼人的是漏洞在被“白帽子”曝光之前被黑客发现,这就让黑客有机可乘。类似的事件比比皆是:今年3月某著名社交应用红包曝出的漏洞;十几天前被曝光的著名支付软件实名认证漏洞……不过事后大家都及时修补了漏洞,也算是不幸中的万幸。

互联网行业中,“白帽子”是一个无害的群体,很多大型互联网公司都采取各种奖励机制,建立应急响应中心,鼓励“白帽子”主动查找自己产品中存在的漏洞和问题。只要能够第一时间发现问题所在,及时修复漏洞,即便是别有用心的人想趁此机会造些伤害出来,可能也会撞上铜墙铁壁。这次乌云曝光百度App存在漏洞,恰恰说明了防御机制的作用是多么重要。

先解决产品问题才是王道

此次百度的漏洞事件中,我们却并未看到公关过多介入的痕迹,事件曝光两天的时间里,我们看到的报道都还是直指问题所在。这也显示出,这次百度的应对策略坚持了正面面对,并且一直在公布漏洞修复的进展。

截止到10月30日24点之前,百度全系涉事APP都已经紧急修复了漏洞,完成了新版本的升级上线,广大用户及时更新软件即可修复漏洞。再加上此次漏洞只涉及到安卓手机应用,苹果用户更是无需担心。

媒体报道中透露,其实百度云安全的内部安全团队,在乌云曝出安全问题之前,就已经知晓了具体信息,并且发布内部预警信息,全面启动应急响应流程,与相关产品团队进行沟通,确定了修复方案。

笔者认为,任何一家公司都应当有对于产品漏洞问题的安全应急响应流程,像百度这样拥有强大技术实力的公司经过多年的积累,已经打牢了基础,所以此次才能如此迅速的将漏洞修补。另一方面,产品有漏洞实属于正常现象,通过此次事件也凸显了百度的实力,其APP仍然是值得信赖的。

关键词:安全漏洞