周鸿祎:漏洞是安全的命门|周鸿祎_新浪科技_新浪网
source link: https://finance.sina.com.cn/tech/2022-05-27/doc-imizmscu3736475.shtml
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
周鸿祎:漏洞是安全的命门
新浪科技讯 5月27日晚间消息,今日,360创始人周鸿祎在社交平台发文谈网络安全漏洞,周鸿祎称,漏洞是安全的命门,今天很多高级别的网络攻击都是基于漏洞 ,攻击者可以利用未知的漏洞,神不知鬼不觉劫持系统发起攻击。近日,全球化支付巨头PayPal被曝用户账户资金存在安全风险,就是时下热门事件案例。
周鸿祎指出,从某种角度来说,漏洞和石油、建材、药材等很多军用物资一样,应该被视为是国家级的、重要的战略资源。
以下为全文:
漏洞是安全的命门。今天很多高级别的网络攻击都是基于漏洞 ,攻击者可以利用未知的漏洞,神不知鬼不觉劫持系统发起攻击。近日,全球化支付巨头PayPal被曝用户账户资金存在安全风险,就是时下热门事件案例。
PayPal近20年致力于数字支付革命,2021年年初还获得我国支付牌照。近期外媒曝出,PayPal存在一个未修补的大漏洞,该漏洞是在专为计费协议设计的“www.paypal[。]com/agreements/approve”端点上发现的,利用该漏洞,攻击者可轻而易举地窃取用户账户中的资金。
可以说,基于漏洞的网络攻击可以颠覆我们的认知。去年年底的Apache Log4j2漏洞也是典型案例之一。通过该漏洞,攻击者可以远程操控目标的电脑、服务器执行任何一条指令,比如下载安装有害软件、删除关键数据或文件等。而且,这一漏洞的利用方式并不复杂,仅需输入一段简单的命令即可触发。这就好比一栋戒备森严的大楼,从正面是很难突破的;但如果楼体的某一个小窗户没有上锁,那么就给了他人可乘之机。可以说,在网络里掌握了一个漏洞,就相当于掌握了一个网络武器。
所以从某种角度来说,漏洞和石油、建材、药材等很多军用物资一样,应该被视为是国家级的、重要的战略资源。早在2013年12月,西方主导的《瓦森纳协定》就将漏洞和一些入侵软件列入军用物资进行管制,随后,美国商务部也出台相关实施规则草案,将漏洞纳入美国《出口管理条例(EAR)》的管控范围。今天,漏洞的资源性和武器化趋势已成为国际上的普遍共识,漏洞披露上升到与国家安全和国家利益密切相关的高度。2021年7月12日,我国工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》。希望通过政策倒逼各方将安全管理前置,重视漏洞管理和数字安全责任义务,在开发网络产品时就需要植入安全意识、安全理念、安全相关架构及技术等,将安全理念根植于网络产品的每一处基因。毕竟,万物互联的数字时代,谁掌握了对方的漏洞,谁就能在对方所谓固若金汤的防线上撕开一个口子。我们只有自己加强漏洞的挖掘和修复,才能减少风险,加强防御。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK