最近发生的数据库泄漏事件影响还是很大的,连接到好几个朋友电话,都担心这个,希望能有个什么一劳永逸的解决方案,甚至有人还表示:钱没问题,只要能安全。可惜,从来就没有绝对的安全。任何牛逼的系统在运行之后,都有可能被发现开发者当初根本没有想到的漏洞,而这时的系统已经在运行,想要补救已经来不及了。
在网络安全中,操作系统、数据库这些基础设施多由顶尖的人才开发,很少会出问题,最容易出问题的就是在这些基础设施之上开发的应用程序。因为开发的门槛低,利润也有限,被甲方的成本压力,压低了应用程序的开发水平,使得开发者(或者说网络安全的防守者)通常不如攻击者有技巧。
高水平的攻击者通常都是高水平的开发人员,需要对计算机原理、操作系统、程序开发、编译原理和众多攻击方法了如指掌,这样的人作为甲方既养不起也留不下。所以很多时候,甲方只能选择购买入侵检测、防火墙等等昂贵的设备,来给自己虚假的安全信心。可惜这些设备在对付高水平的攻击时基本没用。
受黑客文化的影响,高水平的攻击者都个性张扬,喜欢冒险,也喜欢扎推,所以黑客圈子里著名的黑客团队都是松散联合,甚至根本就是匿名的。这使得建立一个安全联盟,通过外包取得比攻击更可观的利润这样一个美妙的想法就象空中楼阁一样可笑,因为这很没趣,很难吸引到高水平的攻击者和防守者。
所以,业界只能把希望寄托到那些次一等的安全团队身上,他们跟在高水平黑客团队的身后,拾漏补遗。对于众多的甲方来说,能将安全业务外包给能这些能及时反应的安全团队,已经可以说是弥补了网络安全中最容易出问题的一块短板。在网络安全中这虽说不是最好,但差不多却是唯一靠谱的方法。
