发布日期:2016-09-20 15:29:46 +0000
互联网公司里,如果你是负责信息安全的,估计在一些老板眼里,你的工作很难体现出来价值。如果公司信息安全不出问题,有些人认为你什么都没做,如果出了问题,比如数据被盗,你又要承担责任。
不少企业负责人的心态如这张漫画所示( 这张图是一位安全从业者给我的) :上帝呀,你该保佑我。我都祈求你保佑我了,怎么还会被石头砸?可是,上帝帮你挡了太多石头了,漏掉了一块而已。
这些石头就好比网站漏洞或是流程中的风险,从概率上看,任何系统都会一直有漏洞( 正如同足球场上守门员再厉害也会被破门一样), 有漏洞就有风险,必须持续投入降低这些风险。
信息安全领域,有很多「白帽子」黑客,他们乐衷于寻找各种系统的安全漏洞,自己并不利用漏洞牟利,而是选择联系厂商修复漏洞或是提交到第三方漏洞平台。我一向认为,这样的黑客是非常值得敬重的,从另一个角度上看,他们有破坏性的力量,可以用来攻击系统或是用漏洞在黑市上牟利,但他们做了另外的选择,他们选择不做破坏,这足够了不起。
每个接到漏洞报告的厂商应该高兴才是,我甚至认为应该给予漏洞报告者足够的物质奖励(即使那奖励对于他们的投入不成正比),对于他们反馈的信息,应该给予正向的回报激励。不过,也有的厂商会把白帽子黑客看做是带来坏消息的「花剌子模信使」,甚至报警抓白帽子,非常令人遗憾。不少白帽子年纪不大,对信息安全的法律条款不够重视,不排除白帽子有的时候也会越界,毕竟很多地方都是模糊地带。
我相信一点,有白帽子被抓(别误会,铤而走险违法的不算),就有更多黑客选择不做白帽子,甚至不做网络安全这一行。更何况,作为企业管理者,抓住报告漏洞的人,就没有安全问题了吗?我想你会有自己的答案。
题图:来自互联网