安全不只是防御 而是持续运营的过程

3月30日，首个面向全球白帽和技术精英开放的、专注于漏洞响应和防护的全球性安全行业大会——补天白帽大会在深圳举行，富有传奇经历的补天精英白帽子华不再扬表示，“安全是一个持续运营的过程，需要跟随企业IT资产变化，来实时监控发现黑客行为，及时响应威胁事件的发生，将企业面临的损失减到最小。”

补天精英白帽子 华不再扬

据《2016年中国网站安全漏洞形势分析报告》数据显示，360网站安全检测平台2016全年共扫描各类网站197.9万个，其中存在漏洞的网站91.7万个，占比为46.3%，存在高危漏洞的网站14万个，占扫描网站总数的7.1%。

华不再扬到，安全问题已经是企业面临的最重大风险，100%的企业存在安全问题，73%的企业缺乏解决问题的能力，67%的企业遭遇过严重安全事故，尤其是金融、电商、游戏行业都遭遇过数据泄露等重大安全事件。如果国家相关监管部门已经进行漏洞通告的情况下企业没有及时处置被黑客入侵，泄露了公民信息，最终是要承担法律责任的。

近几年来，黑色产业日益猖獗，顶级黑客手中掌握的社工库数量超过10亿条。据媒体统计，每年因为黑客攻击导致的企业损失已经超过了千亿美元，70%的企业大部分服务器上都没有很好的安全防护措施，大部分的安全防护手段只是放在边界的防火墙，但是在很多时候黑客进入企业内网之后防火墙就失去了防护的作用。

企业的安全防护为何如此难做？华不再扬谈到，一是由于企业在业务发展迅速，IT资产变更频繁，这使得原本在早期规划好的边界安全防护手段几乎看护不过来，同时在安全人员的人力投入也不够。二是黑客对于商业利益驱动的持续攻击、高级攻击手段从多纬度渗透、形成了专业的组织，这对于只是被动防御的企业来说根本就是防不胜防。

华不再扬强调，黑客在入侵企业之前，通常会去收集企业的资产信息，如企业的主域名，以及针对主域名进行一些子域名的收集，还有企业的Web使用了什么框架，开放了什么端口，端口的协议等等。通过这些资产的收集，黑客在去分析系统的漏洞，查找Web站点的弱口令、反序列化、信息泄露等。另一方面，黑客也会一刻不停的尝试利用不同的手段进行渗透，他们的目的和手段会非常多，如邮件攻击、网站钓鱼、私人信息收集、互联网论坛邮件、社交信息等。总的来说，黑客的准备得十分充分，并且愿意投入资源，有耐心的去渗透。

“黑客在发动攻击之前会如上面所述去收集企业的一些资产信息，同样的，作为安全防御方的企业来说，也要进行资产信息收集了，并且企业要比黑客掌握得资产信息更加全面才行。”华不再扬讲到，企业的安全防护最重要的一件事情是清晰的了解企业所有重要的资产和对外的业务以及对内提供的IT服务，了解企业安全现状进行资产风险评估，然后再进行安全建设。