周鸿祎:漏洞是安全的命门

日期:05-27
周鸿祎

新浪科技讯 5月27日晚间消息,今日,360创始人周鸿祎在社交平台发文谈网络安全漏洞,周鸿祎称,漏洞是安全的命门,今天很多高级别的网络攻击都是基于漏洞,攻击者可以利用未知的漏洞,神不知鬼不觉劫持系统发起攻击。近日,全球化支付巨头PayPal被曝用户账户资金存在安全风险,就是时下热门事件案例。

周鸿祎指出,从某种角度来说,漏洞和石油、建材、药材等很多军用物资一样,应该被视为是国家级的、重要的战略资源。

以下为全文:

漏洞是安全的命门。今天很多高级别的网络攻击都是基于漏洞,攻击者可以利用未知的漏洞,神不知鬼不觉劫持系统发起攻击。近日,全球化支付巨头PayPal被曝用户账户资金存在安全风险,就是时下热门事件案例。

PayPal近20年致力于数字支付革命,2021年年初还获得我国支付牌照。近期外媒曝出,PayPal存在一个未修补的大漏洞,该漏洞是在专为计费协议设计的“www.paypal[。]com/agreements/approve”端点上发现的,利用该漏洞,攻击者可轻而易举地窃取用户账户中的资金。

可以说,基于漏洞的网络攻击可以颠覆我们的认知。去年年底的Apache Log4j2漏洞也是典型案例之一。通过该漏洞,攻击者可以远程操控目标的电脑、服务器执行任何一条指令,比如下载安装有害软件、删除关键数据或文件等。而且,这一漏洞的利用方式并不复杂,仅需输入一段简单的命令即可触发。这就好比一栋戒备森严的大楼,从正面是很难突破的;但如果楼体的某一个小窗户没有上锁,那么就给了他人可乘之机。可以说,在网络里掌握了一个漏洞,就相当于掌握了一个网络武器。

所以从某种角度来说,漏洞和石油、建材、药材等很多军用物资一样,应该被视为是国家级的、重要的战略资源。早在2013年12月,西方主导的《瓦森纳协定》就将漏洞和一些入侵软件列入军用物资进行管制,随后,美国商务部也出台相关实施规则草案,将漏洞纳入美国《出口管理条例(EAR)》的管控范围。今天,漏洞的资源性和武器化趋势已成为国际上的普遍共识,漏洞披露上升到与国家安全和国家利益密切相关的高度。2021年7月12日,我国工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》。希望通过政策倒逼各方将安全管理前置,重视漏洞管理和数字安全责任义务,在开发网络产品时就需要植入安全意识、安全理念、安全相关架构及技术等,将安全理念根植于网络产品的每一处基因。毕竟,万物互联的数字时代,谁掌握了对方的漏洞,谁就能在对方所谓固若金汤的防线上撕开一个口子。我们只有自己加强漏洞的挖掘和修复,才能减少风险,加强防御。

拼多多:截至2022年3月31日的12个月内活跃买家数量8.819亿,同比增7% 谷歌离被分拆从未这么近
相关阅读: