企业动态

曾经有领导问我：“漏洞是天生的吗？”

我不假思索地回答：“是天生的。因为漏洞是客观存在，而且无法消灭干净的。”

领导追问：“既然是天生的，为什么设计者自己找不出来，需要你们去找？而且，被利用的可以叫漏洞，没被利用的，能叫漏洞吗？”

——（节选自《漏洞2》第一章 第一节 漏洞，源自人性的缺陷）

答案是不行，因为没被利用的叫缺陷，而缺陷不等同于漏洞。

当这个缺陷能被利用，进而产生安全性危害时，缺陷才成为了漏洞。就像一条船的船底和船舱门板上都有一个小孔，这两个小孔都是缺陷。但其中，船底的小孔会导致进水，并最终船毁人亡，所以它就是漏洞。

法律条文里可能有若干缺陷，能被利用的是漏洞，犯罪分子可能因为利用漏洞而逍遥法外；金融运行体制里也可能有不少缺陷，能被利用的才是漏洞，抓住这个漏洞可能赚得“盆满钵满”；甚至我们人也是一样，生来有多疑、贪婪等很多缺陷，一旦被利用，会带来失败和痛苦。

并不是所有的缺陷都是漏洞，只有可以被外部利用的缺陷才称为漏洞。这句话可以换一个角度来理解，当利用缺陷的方法出现时，漏洞导致的现实威胁就出现了。

——（节选自《漏洞2》第一章 第一节 漏洞，源自人性的缺陷）

漏洞因人性而定

拿破仑曾经说：“我是我自己最大的敌人，也是自己不幸命运的起因。”

人，与生俱来就有贪婪、自私、猜疑、虚荣、恐惧、固执等弱点，一旦这些缺陷被利用，就演变成致命的漏洞。

——（节选自《漏洞2》第一章 第一节 漏洞，源自人性的缺陷）

“心理战”，本质上研究的就是如何充分利用人心理上的缺陷，把其打造成致命漏洞的方法，军事活动中尤为多见。

1948年10月下旬，当人民解放军节节胜利之时得到紧急情报：驻守北平的蒋傅军，决定将趁华北野战军兵力空虚之际经保定偷袭石家庄和西柏坡。

当时，解放军华北军区留守西柏坡的兵力只有一个约千人的团。从北平到石家庄只有600多里，而其中300里的铁路线基本为国民党军控制。从保定到石家庄的300多里的路程，敌军快速机动部队只需两天，最多三天即可到达石家庄。但是，解放军赶到保定要四天，石家庄告急。

面对这一严峻形势，中共中央一方面，在军事上调动部队和民兵以抗阻奔袭南进之敌。另一方面，运用新华社等媒体发动宣传攻势，揭露敌人的偷袭阴谋。

在这场特殊的宣传战中，毛泽东亲自组织和撰写了几篇重要新闻：首先把蒋傅军企图突袭石家庄的消息及时公布于众；其次，把这次偷袭的兵力细节揭露得一清二楚，明白告诉敌人解放区军民早已做好充分准备；然后，报道显示了解放军对敌人的具体行动了如指掌，一切均在掌握中，并把国民党面临垂死挣扎的局势，以及偷袭石家庄的真实意图和经过等，剖析得一清二楚。

新华社播发的这些新闻，起到了巨大的震慑作用。傅作义得知阴谋暴露，大为吃惊，“疑中生疑”使他惧怕遭到埋伏，只好撤回，偷袭阴谋彻底破产。

在这场中国共产党与国民党的对战中，首先是共产党利用对方的漏洞获取了重要的军事情报，又利用傅作义的心理漏洞，巧妙运用舆论武器，发动宣传攻势，导演了一幕中国近代史上的“空城计”，成为历史上的一段佳话。

漏洞存在三个支点：漏洞因人而生，因人心而用，因人性而决定使用之道。

——（节选自《漏洞2》第一章 第一节 漏洞，源自人性的缺陷）

影响越大，漏洞越“贵”

关键信息基础设施成为攻击重点，“零日漏洞”被视为珍贵的资源甚至武器，比特币成为网络犯罪交易的主流支付方式，处于混沌状态的网络“灰产”日益庞大。这都是漏洞勒索的趋势。

2020年12月，德国第三大出版商遭到勒索软件攻击，导致其在德国各地的超6000台办公电脑和数千个办公系统受到严重影响。

2020年10月，美国佛蒙特州一家医疗服务提供商遭到勒索软件攻击。直到2021年1月，被攻击的系统都没有完全恢复，一些应用程序仍然处于关闭状态。在新冠疫情肆虐期间，这起勒索攻击不仅造成了数百万美元的收入损失，而且导致电子健康记录系统延迟推出，极大阻碍了美国抗击疫情的进程。

2020年5月，REvil勒索软件窃取了一家律师事务所的756GB数据，其中包含美国众多名人的隐私信息，美国前总统特朗普就是受害者之一。黑客向特朗普开出了4200万美元的赎金，称所窃取的资料中包含对其竞选不利的敏感信息，如果不及时支付赎金，就会将这些黑料公开。

勒索病毒是“自我进化能力”最强的网络安全威胁之一，一直在不断产生新的变种。勒索攻击手法也在不断变化，从钓鱼邮件攻击到网站恶意代码入侵，再到社会工程学，各种高级威胁的技术手段在勒索攻击得到复合型应用。

同时，比特币等匿名数字货币的流行，成为了黑客的绝佳工具，勒索赎金越来越高，黑客拿到高赎金后，逐渐细分出更多工种，形成了完整的产业链条。

——（节选自《漏洞2》第一章 第二节 一切漏洞皆可被利用）

家贼难防

从美国联邦调查局（FBI）和美国犯罪现场调查小组（CSI）等机构联合发布的一项安全调查报告中看到，超过85%的网络安全威胁来自内部，危害程度远远超过黑客攻击和病毒造成的损失。这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。

——（节选自《漏洞2》第一章 第二节 一切漏洞皆可被利用）

2020年7月，一名俄罗斯黑客试图利用社会工程学对特斯拉企业实施勒索攻击。该黑客通过WhatsApp与一名特斯拉员工取得联系，用100万美元诱惑该员工帮助黑客投放勒索软件。但该员工将此消息告知了FBI，并配合FBI将黑客绳之以法，为特斯拉挽回了数百万美元的损失。

同月，据国外媒体报道，推特遭遇了该公司历史上最严重的一次安全破坏事件。黑客通过获取内部员工凭证的控制权，劫持了多位知名人士的账户。这些账户发布了内容一模一样的推文，声称如果向其比特币账号地址转账，将在30分钟内以双倍数额返还。

2020年10月，中国香港一名电信公司技术员涉嫌利用工作之便，非法获取超过20名公众人物、警务人员及警员家属信息，之后通过即时通信软件Telegram向一群组帐户管理人泄露这些信息，并发布一名警察父亲的个人资料，此外他还被指控拍摄警察局内部环境。

内部威胁随处可见。企业管理层应当充分认识内部威胁的危害，高度重视，采取切实有效的措施应对内部威胁挑战，如科学分析员工期望、建立有效的激励机制、引导员工情绪、消除员工的破坏动机等。

——（节选自《漏洞2》第一章 第二节 一切漏洞皆可被利用）

利用与反制，永无止境