谷歌退出門，是否緣起黑客攻擊這不好說?？偨Y(jié)一下，就是包括谷歌在內(nèi)的30多家美國(guó)公司被黑客用一個(gè)IE 0DAY漏洞給入侵了。谷歌退出門的具體TIME LINE可以看sowhat的blog《谷歌退出門始末》。素包子在這里針對(duì)安全的范疇八卦三個(gè)故事。

1、IE 0DAY。這沒啥好說的，就兩個(gè)字了得：牛X。具體信息可以參考SecurityFocus的描述，微軟也對(duì)此發(fā)布了一個(gè)安全公告。據(jù)國(guó)外媒體消息，這波0DAY攻擊包括但不限于微軟IE瀏覽器。越來越兇猛的0DAY漏洞，越來越隱蔽的后門木馬，時(shí)時(shí)刻刻挑戰(zhàn)著企業(yè)的信息安全。全球500強(qiáng)，今天你安全了嗎？

2、據(jù)美國(guó)媒體稱，這被黑客攻擊的30多家美國(guó)公司，包括但不限于Google，Adobe，Yahoo，Symantec，Northrop Grumman，Dow Chemical。包子給這次攻擊的點(diǎn)評(píng)是：“立意優(yōu)秀”，因?yàn)楹诳兔闇?zhǔn)了Symantec。Symantec的安全主打產(chǎn)品是保護(hù)企業(yè)終端安全的 Symantec Endpoint Protection，它在市場(chǎng)上占有絕對(duì)領(lǐng)先的地位；然而一個(gè)全球最牛X的企業(yè)終端安全安全產(chǎn)品的公司竟然被0DAY漏洞入侵其企業(yè)終端，這實(shí)在是有點(diǎn)讓人啼笑皆非。（沒錯(cuò)，這句話有點(diǎn)拗口，說白了就是一個(gè)全球最牛X的保鏢被一個(gè)鄉(xiāng)村農(nóng)夫用鋤頭給打倒了）；一個(gè)安全公司自身都不安全，想想就覺得可怕。下圖是Symantec Endpoint Protection的界面，想必在大企業(yè)工作的同學(xué)應(yīng)該相當(dāng)熟悉了。

嗯，這段比較有意思，多噴幾句。這個(gè)時(shí)候mcafee出來說話了，意思大概就是：你Symantec的Symantec Endpoint Protection不是很牛X嘛，咋還被0day給整了？我的Mcafee就沒這么挫，好歹也有個(gè)緩沖區(qū)溢出保護(hù)，你看，黑客即使有0day，不也是一樣進(jìn)不來。下圖是mcafee的緩沖區(qū)溢出保護(hù)設(shè)置界面。

客觀的說：Symantec SEP應(yīng)該加強(qiáng)對(duì)未知漏洞的防御能力；Mcafee應(yīng)該加強(qiáng)其市場(chǎng)能力，并大力改善其產(chǎn)品的用戶體驗(yàn)，盡量keep it simple and stuipid，我想mcafee應(yīng)該不會(huì)主要依靠產(chǎn)品培訓(xùn)盈利，對(duì)吧。

3、這30多個(gè)美國(guó)企業(yè)如何在短時(shí)間內(nèi)發(fā)現(xiàn)自己被入侵？一個(gè)企業(yè)如果具備安全事件自我發(fā)現(xiàn)能力，那么這個(gè)企業(yè)是安全還做的不錯(cuò)的。從國(guó)外新聞內(nèi)容來看，有Mcafee，idefense兩大安全公司參加了這次安全事件的分析。素包子猜測(cè)如下：

A、某家公司發(fā)現(xiàn)網(wǎng)絡(luò)及主機(jī)異常，并且該公司和idefense有商務(wù)關(guān)系，要求idefense對(duì)該事件進(jìn)行安全應(yīng)急響應(yīng)。

B、idefense對(duì)相關(guān)主機(jī)及數(shù)據(jù)進(jìn)行分析，提取出相關(guān)特征。

C、在美國(guó)互聯(lián)網(wǎng)出口鏡像中搜索匹配該特征的數(shù)據(jù)，由此可定位出美國(guó)有哪些公司被該漏洞入侵。

D、把相關(guān)特征作為策略下發(fā)到Mcafee的入侵防御系統(tǒng)里，通過在企業(yè)內(nèi)部署Mcafee的入侵防御系統(tǒng)InstruShield來檢測(cè)有哪些終端被入侵。插一句，mcafee的這個(gè)產(chǎn)品用起來就賊麻煩。

我們回過頭來看看，在上述ABCD四個(gè)步驟中，最關(guān)鍵的就是A步驟，但是這一步里最關(guān)鍵的不是技術(shù)，而是責(zé)任。那這個(gè)責(zé)任從何而來？素包子認(rèn)為：要打屁股，還要有糖吃。一是通過規(guī)范企業(yè)運(yùn)營(yíng)中的安全相關(guān)環(huán)節(jié)，在出問題的時(shí)候打屁股，懲罰責(zé)任人；二是要給安全相關(guān)人員足夠的認(rèn)可、獎(jiǎng)勵(lì)和權(quán)力，我實(shí)在無法想象一個(gè)收入較低的監(jiān)控人員會(huì)用心去發(fā)現(xiàn)一個(gè)細(xì)微的異常并努力從頭到尾跟進(jìn)這個(gè)異常。

從企業(yè)的角度來說，總希望安全人員拿60分的錢做100分的事；但從大多數(shù)情況來看，一個(gè)月入5000的人，一般情況下是不愿意持續(xù)去做一個(gè)月入10000的事的。這個(gè)時(shí)候企業(yè)容易呈現(xiàn)“看起來貌似很安全”的狀態(tài)，據(jù)素包子所知，國(guó)內(nèi)不少企業(yè)是處于這個(gè)狀態(tài)的，各自都是啥情況，我想大家自己心里最明白不過。一分耕耘一分收獲，沒有勤懇耕耘的牛，哪來豐碩的果實(shí)呢？

綜上所述，企業(yè)要想獲得真正的信息安全，除了具備顯性的信息安全手段之外，還必須左手一個(gè)大棒子，右手一個(gè)大奶糖；做的不好要大棒的打，做的好要給予足夠的獎(jiǎng)勵(lì)；否則，企業(yè)容易處于“看起來貌似很安全”的狀態(tài)。

知易行難，企業(yè)的信息安全需要企業(yè)和安全人員共同營(yíng)造，大家一起努力吧！