索尼被黑的启示:每一家创业公司都应做好准备迎接安全之战

下一篇文章

索尼 CEO:“我们没有屈服”

索尼与 FBI 认为的朝鲜黑客 之间的对抗或许已经结束了,然而企业安全之战才刚刚打响。

如今企业正将其传统系统快速地转移到云服务这样的现代 IT 技术中,希望能够节约成本并改善性能,在竞争日益加剧的世界里跟上时代的节拍。尽管安全一直都是首席信息官采购新产品的几大核心需求之一,但是安全本身几乎从来都不是产品的卖点——功能才是。因此,创业公司才把如此之多的注意力放在打磨产品上,安全工程师的工作常常被安排在开发流程的末端。

过去几周索尼相关事件让我们更加清楚地认识到,科技创业公司日益成为黑客团伙、恶棍国家等各方势力的战场。企业依靠自己的信息技术保障最重要的商业机密。这些系统受到任何一次真正意义上的威胁也许就会让高管们不再信任 IT 部门,创业公司相关的每一个人因此也会受到严重牵连。

正如我 6 月份直言不讳的那样 ,笨蛋,安全才是问题所在啊。

我们并不是第一次面临这样的局面。IT 部门现在正在经历一场云服务的技术革新,与大约 20 年前从纸质文书到数据中心的革新并没有什么区别。当时,最大的安全问题是病毒和蠕虫——想想 ILOVEYOU,红色代码(Code Red),以及 SQL Slammer 这些病毒。诸如此类的网络病毒感染经常会成为报纸和有线电视网的头版头条新闻,据估计,每一种病毒都造成了数十亿美元的损失。

然而现在我们很少听到有关病毒的报道了。操作系统(尤其是微软的 Windows)安全性的提升封堵了许多曾可用来侵入的漏洞。更为先进的杀毒软件也拦截了许多病毒的邮件传播途径——在邮件服务器上就把它们干掉了。随着攻击途径数量的减少,黑客编写互联网自我繁殖代码也变得越来越难。

在云服务方面,我们需要发起一场类似的防御革新。我们需要加强根本性的基础设施,同时开发更厉害的工具识别攻击并将它们扼杀在摇篮之中。不幸的是,这种解决方案实现的困难程度远远超出想象。

难点之一在于,很多这样的云服务都是相互作用的,这就大大增加了识别系统内部漏洞的难度。这种密不可分的交叉性同样也延展到了这些服务底层的库当中——好比如 OpenSSL 库中的 Heartbleed 漏洞 ,或者是 Bashshell 中的 Shellshock 漏洞 。在受到攻击时,某一个系统当中的漏洞殃及范围很可能远远不止这个系统本身。

其次,内部人士逐渐成为潜在威胁,原因不仅在于 IT 服务数量的增长,还在于 IT 部门应对安全问题的措施直接与管理效率之间的直接矛盾。仍有许多人猜测,索尼遭遇的攻击背后有着索尼内部人士的策应。无论如何,家贼难防,原因在于企业面临着激烈的竞争,需要现有系统的开放性来保证效率。创业公司需要提供安全性的同时满足速度和开放性的需求,而且不能只是装装样子。

最后一点,或许也是最重要的一点,创业公司正在以越来越快的速度给客户提供他们需要的功能,想要确保交付代码的健壮性和安全性不能说绝无可能,至少也是非常困难的。在这个快速交付、不断创新的世界里,创新也开始变得糟糕——而且代价也越来越高。

安全或许是一个棘手问题,但这是每一位软件开发者、每一位创业公司高管最重要的责任。如果首席信息官们对 IT 部门丧失了信心,那每一个人都成为了输家。我们不能因为没法确保云服务中的安全就倒退到纸质文书的时代。

因此,我们需要回归原点。首先,每一位开发者都应该接受安全方面的培训。通常来说,计算机科学课程安排中安全并不是必修课,希望在此领域有所专攻的学生才会选修安全课程。这一点亟待改变。安全习惯要及早培养,开发者不应该学完了大学课程,还写出带有 SQL 注入漏洞的代码。

对于已经就业的开发者来说,花点时间学习一下 OWASP 十大安全漏洞 ,及时阅读保障系统安全的最新方法。确保产品设计的每一个环节至少都有几分钟的时间专门讨论安全问题和潜在的漏洞。另外,认真思考如何提供高细粒度的数据访问控制功能,甚至在客户还没提出这个要求的时候就想好了。

最后,对于创业公司高管来说,不断地寻找自己软件和服务中的安全漏洞。悬赏发现新漏洞,聘请白帽黑客调查你的软件,也可以考虑一下漏洞发现服务,比如能为你搞定很多此类事情的众包服务 BugCrowd。漏洞是所有软件的通病,不足为奇,你不应该逃避,而是要把它们当做客户提出的其它要求一样,直接面对这些挑战并予以解决。

当年让微软 Windows 头疼不已的大规模攻击或许对于创业公司来说已经不起效果,然而如今早就是另一番天地了。由于软件系统之间的紧密耦合,一家创业公司的服务可能就会被黑客用来侵入另一家公司系统。别幻想着有一个神奇的安全服务能帮你解决客户的问题。每一家创业公司都已经被卷入了这场战斗,是时候吹响进攻的号角了。

题图来自:CHRISGJ6/FLICKR 遵照 CC BY-SA 2.0 授权协议

翻译:顾秋实

After Sony, Every Startup Should Prepare For War