拼多多被薅-谈网络安全中最后的屏障
事件回顾
拼多多官宣如下
“1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。 ”
拼多多一夜间被薅了千万,官宣称黑灰产盗窃,但据消息又是一起低级失误导致的重大损失,还有消息称是测试的误发出来了
安全的"老生常谈"
实际开发中有哪个程序员没有做过这样的事?比如带验证功能的,为了测试某块应用功能,而暂时取消安全验证,仅供内部测试?然而若是哪一天真的是忘记了恢复就发布出去了呢?
然而你会说,不可能的,我想发得能发出去啊,有人审核的,那么你们公司就厉害了,最起码合规做的好
不论是哪方面的安全,合规第一,意识、能力第二,但真正想做到极致安全,合规和意识、能力二者又必须相互支撑
-
意识和能力永远是指向于的个人或某个团体,而规则的制订往往是由群体来完成,俗话说”三个臭皮匠胜过一个诸葛亮“,规则的安全程度往往是大概率高于靠意识和能力而产生防御度。
-
意识和能力往往跟个人或某个团体的层次由很大关联,不稳定性极强,而规则则相对绝对
-
然而,合规说到底外层靠不合规代价的制约,内层真正依靠的还是人的合规的下意识和无时不刻合规的能力。
-
所以,真正的想让安全事故降低到无限小,那么就必须有良好的安全意识和能力并且愿意合规办事的人或人组成的团体来运营保障。
-
但不幸的结果是,不论从高学历且高智商群体到普通群体,能兼顾这二者的确实不多,所以安全这种看似”三板斧“就可以搞定的事,结果却从未没让人满意过
网络安全中的伪命题
"步子大,还想不扯X"是网络安全的伪命题!
-
当人类手拿木头钻木取火的时代,个人愚蠢最大的伤害就是伤害自己;当人手拿冷兵器骑马征战,个人的愚蠢就可以导致一个种族的灭绝;当人拥有了大炮坦克、核武器,个人的愚蠢甚至给人类自己灭了,直到现在核武器问题依然是个定时炸弹!
-
如今的网络时代早已不是概念和应用范围仅仅是聊天、冲浪、看电影等局限于生活休闲的时代了,如今的网络承载了几乎人类所有可承载事项。网络安全与否直接威胁小到个人的生命财产安全,大到国家安全,甚至人类存亡问题(军事武器也被网络承载),而网络的飞速发展也就是近20年的事情,负责掌握关键网络中的愚蠢的混子依然是没有杜绝。
-
2018年是多方重视网络安全历史高度最高的一年,而信息泄露事件自2013年开始已经连续5年突破历史记录,这其中反差,只能呵呵了!但还想说的是根本原因在于网络安全保障的规则性执行、意识、认知和能力均落后于信息网络技术及其应用的爆发式增长,两者之间出现极大反差!这里是公众号就不用粗俗的语言来评论相关责任人了,但是还想说的是尤其是国内那”123456“口令,管理几亿人开房记录的?你回家淘宝上买个小霸王打魂斗罗无限人你看看你能通关不?
-
可见,人类整体水平逐步提高,而前沿科技却在飞速进步,必定会导致一部分愚蠢的人混入前沿科技运行团体,结果关键安全掌握在愚蠢的人手里的事情从来没杜绝过!
由此可见说一万遍,安全要靠合规作为最后一道防线
