从“谷歌退出门”看企业信息安全

　　谷歌退出门，是否缘起黑客攻击这不好说。总结一下，就是包括谷歌在内的30多家美国公司被黑客用一个IE 0DAY漏洞给入侵了。谷歌退出门的具体TIME LINE可以看sowhat的blog《谷歌退出门始末》。素包子在这里针对安全的范畴八卦三个故事。

　　1、IE 0DAY。这没啥好说的，就两个字了得：牛X。具体信息可以参考SecurityFocus的描述，微软也对此发布了一个安全公告。据国外媒体消息，这波0DAY攻击包括但不限于微软IE浏览器。越来越凶猛的0DAY漏洞，越来越隐蔽的后门木马，时时刻刻挑战着企业的信息安全。全球500强，今天你安全了吗?

　　2、据美国媒体称，这被黑客攻击的30多家美国公司，包括但不限于Google，Adobe，Yahoo，Symantec，Northrop Grumman，Dow Chemical。包子给这次攻击的点评是：“立意优秀”，因为黑客瞄准了Symantec。Symantec的安全主打产品是保护企业终端安全的 Symantec Endpoint Protection，它在市场上占有绝对领先的地位;然而一个全球最牛X的企业终端安全安全产品的公司竟然被0DAY漏洞入侵其企业终端，这实在是有点让人啼笑皆非。(没错，这句话有点拗口，说白了就是一个全球最牛X的保镖被一个乡村农夫用锄头给打倒了);一个安全公司自身都不安全，想想就觉得可怕。下图是Symantec Endpoint Protection的界面，想必在大企业工作的同学应该相当熟悉了。

　　嗯，这段比较有意思，多喷几句。这个时候mcafee出来说话了，意思大概就是：你Symantec的Symantec Endpoint Protection不是很牛X嘛，咋还被0day给整了?我的Mcafee就没这么挫，好歹也有个缓冲区溢出保护，你看，黑客即使有0day，不也是一样进不来。下图是mcafee的缓冲区溢出保护设置界面。

　　客观的说：Symantec SEP应该加强对未知漏洞的防御能力;Mcafee应该加强其市场能力，并大力改善其产品的用户体验，尽量keep it simple and stuipid，我想mcafee应该不会主要依靠产品培训盈利，对吧。

　　3、这30多个美国企业如何在短时间内发现自己被入侵?一个企业如果具备安全事件自我发现能力，那么这个企业是安全还做的不错的。从国外新闻内容来看，有Mcafee，idefense两大安全公司参加了这次安全事件的分析。素包子猜测如下：

　　A、某家公司发现网络及主机异常，并且该公司和idefense有商务关系，要求idefense对该事件进行安全应急响应。

　　B、idefense对相关主机及数据进行分析，提取出相关特征。

　　C、在美国互联网出口镜像中搜索匹配该特征的数据，由此可定位出美国有哪些公司被该漏洞入侵。

　　D、把相关特征作为策略下发到Mcafee的入侵防御系统里，通过在企业内部署Mcafee的入侵防御系统InstruShield来检测有哪些终端被入侵。插一句，mcafee的这个产品用起来就贼麻烦。

　　我们回过头来看看，在上述ABCD四个步骤中，最关键的就是A步骤，但是这一步里最关键的不是技术，而是责任。那这个责任从何而来?素包子认为：要打屁股，还要有糖吃。一是通过规范企业运营中的安全相关环节，在出问题的时候打屁股，惩罚责任人;二是要给安全相关人员足够的认可、奖励和权力，我实在无法想象一个收入较低的监控人员会用心去发现一个细微的异常并努力从头到尾跟进这个异常。

　　从企业的角度来说，总希望安全人员拿60分的钱做100分的事;但从大多数情况来看，一个月入5000的人，一般情况下是不愿意持续去做一个月入10000的事的。这个时候企业容易呈现“看起来貌似很安全”的状态，据素包子所知，国内不少企业是处于这个状态的，各自都是啥情况，我想大家自己心里最明白不过。一分耕耘一分收获，没有勤恳耕耘的牛，哪来丰硕的果实呢?

　　综上所述，企业要想获得真正的信息安全，除了具备显性的信息安全手段之外，还必须左手一个大棒子，右手一个大奶糖;做的不好要大棒的打，做的好要给予足够的奖励;否则，企业容易处于“看起来貌似很安全”的状态。

　　知易行难，企业的信息安全需要企业和安全人员共同营造，大家一起努力吧!