与此同时,一半企业在过去三年里发生过信息安全事故。
看起来,中国互联网行业有种每天爆出一个安全漏洞的趋势。
几天前百度全家桶漏洞刚被修复,今天百度的一款 Android 开发工具又曝出安全问题。PC Word 报道说,攻击者能使用百度发布的 Moplus 软件开发工具包,通过类似后门的方式访问普通用户的设备。这算是百度这次安全事件的第三波。一开始白帽子发现百度的一个应用有漏洞,然后发现一系列百度应用都有问题,如今是使用了百度开发工具的应用都受到影响。
上个月中下旬,网易邮箱漏洞被曝出,乌云在最初的报告中说有过亿数据被泄漏(之后国家互联网应急中心 (CNCERT) 通报说只有 100 条,网易邮箱更是发声明说没有这件事)。在此之前还有影响更广的苹果 Xcode 病毒事件,让中外无数应用遭殃。
这些事情自然引出一个问题:下一个是谁?其他公司安全吗?
今天中国互联网安全峰会发布了一份《CTO 企业信息安全调查报告》,它能给这个问题提供参考。这份调查访问了近一千个企业的 CTO,涉及各种不同行业、规模的公司,其中既有近一半的 IT/互联网公司,也有金融、制造等行业的企业。它发现一些让人吃惊的事实。
一半企业在过去三年发生过信息安全事故
其中,大型企业和电信行业尤其是重灾区,这些事故涉及商业机密、用户信息等核心信息资产。
这个数据告诉我们,公开出来的攻击只是冰川一角,巨大的冰山下隐藏着的动静我们从来就没看到过。
大部分企业觉得自己目前还挺安全的
调查发现,七成企业觉得目前的解决方案基本能解决信息安全问题,一成多企业觉得完全可以,只有一成企业对自己不自信。
从具体的防范措施上看,1/4 的企业只有客户端或服务器防毒系统,只有 1/4 的企业拥有多层面的防护系统,比如邮件、服务器、网关等。防护如此薄弱,同时还觉得自己很安全,难怪近期不断曝出企业服务器被撞库、DDOS 攻击等严重安全事故。
四成创业公司没有安全团队,一半金融企业没有任何安全方面投入
创业团队的第一要务是发展,安全问题只能往后排,因此它们成了被攻击的重灾区。今天的移动互联网环境下,这些创业公司又会连累到大公司,最典型的例子是线上支付,比如众多 O2O 应用都会接入大公司的支付工具,一旦这些应用被攻破,支付工具也受影响。
四成公司认为信息安全频发是因为企业间的恶性竞争
从这个结果能看出目前中国信息安全行业的一个不健康现状。有些公司将攻击对手作为竞争的一种手段,这跟公关战、补贴战一起构成中国互联网创业的奇特景观。在今天的安全环境下,这种做法只会让互联网变得更不安全。
潘柱廷,安全公司启明星辰的首席战略官,他对这种现象评价道:没有永远的朋友,只有永远的利益。他说,「从技术角度看,公司的边界不存在,在安全上,共同的敌人是黑产。」希望公司们能尽早认识到这点。
领导不重视是信息安全面临的主要障碍之一
在今天的中国互联网安全峰会上,一个词出现频率很高——态度。安全企业知道创宇的创始人赵伟说,「安全看不见,能看到的都是出大事的事情,很多漏洞简单得令人发指。」对这些看不见的东西,企业很难重视起来。即便被曝出安全事件了,第一反应是否定。
潘柱廷将安全与企业的关系形容为「乘法」,当它是 0.1 时,最好的业务也会亏损,如果是负数,企业会面临严重问题。安全是业务发展的前提,企业的目标应该是将安全做到无限接近于 1。
