啟動成功關鍵,隨時掌握商周.com最新資訊
提供第一手新聞解析、財經趨勢、專屬活動
啟動成功關鍵,隨時掌握商周.com最新資訊
提供第一手新聞解析、財經趨勢、專屬活動
--本文由日經BP社特別提供。
雖然已經過去一段時間了,但筆者還是想談一下在《日經電子》2011年7月26日刊特輯「危險時代的安全之道」:對於駭客不應該用「寒風」勁吹,而是讓他們能夠沐浴在「陽光」下。
駭客為了顯示自己的能力,常常會找出軟體的安全漏洞後公開。比如,找出能夠避開專用遊戲機版權保護機構的缺陷,在網際網路上通過部落格等來發佈。但因此受損的企業,能不能不採取訴諸法律手段等嚴厲的措施,而是將他們視為朋友?
對此,讀者指責說:「鼓勵大家去迎合這些壞傢伙,這算什麼呢?」很多讀者都認為:「以可再現的形式公開安全漏洞是令人氣憤的行為,他們幹的是壞事,應該光明正大地起訴,讓他們住手。」
其實,筆者也同意讀者的這種觀點。但儘管如此,還是在特輯中做出了「不應只是寒風還應給予陽光」的結論,原因是企業越是對駭客嚴厲,就越會吃虧。
有人說應該藉由訴訟等手段對駭客死追猛打。這樣的話,該企業便會因為對一個駭客嚴厲而讓其他駭客望而卻步。
但是,這麼做會發生什麼事呢?一來,是不會再有安全漏洞被駭客爆料,但是由企業自己的安全技術人員來搜尋安全漏洞,就會變得很費時。將來,有可能會因為這些安全漏洞沒被發現,而被罪犯拿來惡意使用。
而企業對應過激時,反而更容易糟到駭客的騷擾。今年上半年發生的索尼非法入侵事件,普遍被認為是因為索尼對公開PS3安全漏洞的駭客採取了強硬態度。
最嚴重的情況是安全漏洞會在黑市上交易。目前全球已經存在安全漏洞及伺服器攻擊工具的交易市場,未對外公開的安全漏洞會被高價買賣。這樣看來,企業態度越強硬,安全漏洞會被藏得越深。
要想盡量避免這種情況,就需要讓駭客認為「向某企業報告安全漏洞是有好處的」。實際上,微軟及Google等IT企業就在千方百計地拉近與駭客的距離。比如,微軟每年都會舉行兩次名為「Bluehat」的駭客會議,讓駭客在公司員工面前演講。另外,透過這些演講,知名駭客甚至還獲得了到IT大企業工作的機會。通過這些努力,駭客將不再是企業的敵人,而是朋友。
成為企業的朋友後,駭客就會積極報告安全上的問題,對企業而言,能夠迅速降低在部落格上公開攻擊方法或在黑市上交易安全漏洞資訊的風險。之所以說讓駭客享受「陽光」會更有好處,就是處於這方面的考慮。(記者: 中道 理,《日經電子》)
科技最趨勢每日精選由日經BP社技術在線網站提供的最新、最專業科技技術報導。