入侵你自己
去年年底,多家网站的用户密码遭到泄露,一些电子商务网站的用户也未能幸免,大量网民的个人信息遭到曝光直接证明人们对互联网安全的担心不是杞人忧天。
为了保护自家产品,使之安全安全可靠,谷歌再次作为顶级赞助商支持了即将在 3 月举办的 Pwn2Own 黑客大赛。这场比赛要求黑客们使出浑身解数,攻击 Chrome、Safari、IE 和 Firefox 浏览器,最终的冠军会得到谷歌提供的 6 万美元大奖。另外谷歌还提供 2 万美元奖励可以成功黑掉 Chrome 浏览器的黑客。
没错,谷歌是在鼓励黑客们入侵他自己。
除了谷歌,深谙此道的还有一家叫做 White Hat Security 的网络安全公司。它的创始人 Jeremiah Grossman 向 Fastcompany 解释了为什么公司和政府要入侵他们自己。
网络安全就像是一场赛跑,坏人寻觅安全漏洞而好人则要赶在坏人之前发现并修复漏洞。
Grossman 认为近年各种入侵行为越发严重,任何私人公司或者政府部门都要比以前更加重视网络安全。几乎每个人都意识到现在的网路攻击已经从娱乐式的入侵发展到了获利巨大的有组织犯罪,这些犯罪背后有着一定的支撑力量,偷窃的智慧也要比普通银行账户更具价值。
而传统保护网络安全的做法就是组织自己来寻找漏洞所在,然后予以修复。这样的手段低效却被使用得最为广泛,它的同义词是“静止”。静止的安全管理不是关注效果,而只是确保你的产品准时上线。当你遇到一个真正的狠角色时,这些所谓的安全防护就会显得不堪一击。
换个思路,如果邀请实力上乘的黑客帮助入侵系统,把原本强大的破坏力转化为寻找问题的利器,就会收到意想不到的效果。公司或者政府的技术人员不再只是坐在那里,成天忙于抵御来自世界各地的攻击。相反,技术人员可以直接顺着黑客们为他们铺开的道路修复漏洞,从而腾出手来做更多的事情。
题图来自 ActiveBeerGeek