“永恒之蓝”漏洞利用事件带给启明星辰的哲学法则思考

在叔本华的哲学观念里,关于什么是幸福,他说“你认为你最烦恼的事情是微不足道的小事的时候,这时候的你是幸福的。”

如果把安全问题放到哲学法则里去思考,会发现“安全”也如“幸福”一样,是无法去具体描述的,是无法从正面定义的,也是无法单方面肯定或否定的。我们如何去考量它,成为我们能否辩证看待“永恒之蓝”漏洞利用事件的一个视角基础。

5月12日,“WannaCry”勒索蠕虫大规模爆发。面对突发性安全事件,我们讶然、我们彷徨、我们惊恐;我们开始扩散传播、紧急预警,寻求防护措施……在这一系列动作的背后,又不禁出现了怀疑、争议、辟谣、自省与反思……

如果一个安全性事件足以引发对安全问题的辩证性思考,它的价值是超乎想象的。相比起各家解读,启明星辰副总裁潘柱廷(大潘)在接受采访时提出的看法令人印象深刻。

他说:“‘永恒之蓝’漏洞利用事件归根到底既不空前也不绝后。”

“永恒之蓝”漏洞利用事件带给启明星辰的哲学法则思考

▲启明星辰副总裁潘柱廷(大潘)

从“永恒之蓝”谈对安全的基本态度

说起如何看待一个重大安全事故的发生,大潘提到了一个词“乐观的悲观主义”。

他认为,不管我们做多大的努力去实现所谓的“防患于未然”,在未来的某一个时间而且是不远的某个时间点,还会有类似这样的影响甚至比这个影响更大的事件发生。这是事实,但同时带有悲观主义色彩。

然而,这并不意味着可以任之放之。就如黄河悬空河的治理,为了防止水灾泛滥不停地加堤加坝,这些事前防范措施可能还是无法泥沙把河床抬高,很有可能还会促成一次黄河的泛滥,甚至于黄河的改道,这是一个很悲观的结论,但是并不意味着黄河就不需要再去治理了。既然悬空河已经很难去改变,那能否寻求一个契机转变成都江堰那样的模式?

因此大潘提出辩证地去看待此次安全事件的发生,明确对待安全的基本态度。他指出,当一个安全事件必然发生的时候就不需要很悲观,当你很客观地承认一个必然发生的事情的时候,你会对现在所有事情都表现出极度的放松,所以应该在这样一个基本观念之下更积极地去做安全防护。

更积极的做法就是,安全体系也应该去寻求一个契机,把原先的互联网变成用以大数据、物联网、智慧城市为主导的新的防护体系的变革。

从“永恒之蓝”谈对事件损失的评估

合理性辩证性地看待一个安全事件发生之后,需要开始评估该事件带来的影响。大潘指出:“处置该事件带来的损失比灾难事件本身带来的损失要大得多。”

此次安全事故的损失成本可以分为三部分——

1、直接中招的损失;

2、处置该事件带来的损失

1)正常的处置带来的损失(断电需要维修),

2)由于处置失当所带来的损失,

3)由于恐惧和过度保护所带来的损失;

3、成本的增加(加大投入进行内网补丁升级)

此番对事件损失所做的分析,是针对事故发生早期“教育网成为重灾区”不当风向所做的辩证批判。在安全问题发生早期,存在着消息不明晰,部分事实被夸大的风险,导致对受损方的评估出现偏颇甚至误导。专业安全厂商应该形成自律,对事件造成的损失进行理性分析,指导不同行业进行有效且低成本的应对。

此外大潘表示,在处置事件的过程中,很明显的一个选择倾向是以处置的损失来避免中招的损失数量级的扩大,处置事件的成本消耗占比大,也是以后安全防护体系在经济成本上去改革的一个关键点。

从“永恒之蓝”谈对处置能力的考察

那么应该如何去评价国家对这种事件的处置能力?

大潘表示,如果作为事件处置来看,问题具体爆发的地方或者处置失当的地方是存在问题的;而作为灾难来看,这次事件处置能力是相当不错的。

一方面,事件发生后,包括来自教育网、运营商、各个安全厂商以及媒体等各方力量及时反应,亦或发声亦或采取行动,整个社会力量在没有任何指令的情况下被调动起来。

另一方面,用户在第一时间形成的自我防护,民间有实力的企业和机构以一种扁平化的方式自主自发地去进行协同且有竞争性的救援,无疑成为整个应急机制的一股重要力量。

大潘说道:“谈到对这次处置的论断,应该一分为二地看待:作为事件处置具体的个别问题,该自己追责去追责;作为整个灾难的处置却是相当不错的。所以绝对不能因为具体的问题而否定应灾体系和机制,我们也不能习惯性地否定没有完美解决所有问题的体系。”

未经允许不得转载:新闻 » “永恒之蓝”漏洞利用事件带给启明星辰的哲学法则思考

相关推荐