违规提示

请您遵循相关法律法规,避免再次出现类似问题

如有任何疑问,请联系support@tmtpost.com

关闭
第七课: 漏洞的发展历程
张雪松 / 探索企业遭遇黑客的原罪
第七课: 漏洞的发展历程

第七课: 漏洞的发展历程

小欣:本期课程的最后一节,张雪松老师会为我们讲解漏洞的发展历程。

张雪松:从全局来看漏洞是有一个发展历程的,我们要清晰的了解它的演化过程。现在总结出来大概有三个阶段是基于威胁进行定义的。

其实最早是我们信息化刚刚起步的阶段。那个时候存在大量系统安全和协议安全的威胁。就在2010年之前大部分都是病毒威胁大家会使用很多的杀毒软件,那是因为当时的操作系统有非常多的漏洞还有一些协议安全,也就是像Ddos、 ARP攻击等都是在这个阶段出现的。

所以在这个阶段更多的漏洞都是基于系统漏洞和协议漏洞,基于这样一些威胁我们在做防御。

而后面随着基础系统的不断升级,慢慢从基础漏洞威胁就转移到了应用层的威胁。在2010年到2017年入侵事件非常多,那就是网站存在应用层漏洞。

比如SQL注入、XSS、越权漏洞等,因为大家操作系统越来越安全慢慢黑客就转战到了应用层的漏洞上,所以在这个阶段出现了大量应用层漏洞。

其实经过我们这些年的发展,目前网站安全已经做得非常好了,而且现在开发网站的开发人员也意识到了有非常多的应用层的漏洞,他们会在开发网站的时候杜绝这样一些漏洞的风险。

那么也就产生了第三阶段。随着数据越来越重要就产生了针对数据安全的威胁漏洞,这个阶段的漏洞大部分是什么样的呢?有防护漏洞、零日漏洞、框架漏洞。随着威胁和安全的升级漏洞也是在不断转变的,这里面有一个规律是什么呢?

其实最核心的规律就是黑客的入侵成本问题,也就是黑客会选择入侵成本更低、利益最大的方式。

任何新的平台都会经历这三个阶段。比如我们的智能手机,最早的智能手机系统本身是不安全的,那时候出现了大量的系统恶意程序。

慢慢的升级到现在的安卓和苹果,系统会越来越安全这时候就到了第二个阶段应用安全的阶段,就会有一些APP二次打包出现。

而慢慢随着安全机制升级,黑客可能就会进入到第三个阶段,直接去攻击你的数据、监听你的数据、窃取你存储在服务器上的数据,也会利用其他的驱动来窃取键盘数据等。

这里我先跟大家讲一下安全的本质。其实安全这个事情就是一个黑与白的博弈,随着我们安全成本投入的提升威胁就会越来越小、黑客的入侵成本也会提高,这也是大家有所共知的一个规律。

但是这里面就牵扯到一个问题,非常多的企业会进行全面的安全建设,企业可能投入很多但是依然会发生特别多的安全问题,这究竟是为什么呢?

实际上很多企业没有把安全投入到最重要的方面:没有投入到与入侵成本有关的方面。所以在这种基础之上,我建议企业一定要学会利用黑客的思路进行布防。我们最关注的就是如何能够提高黑客的入侵成本,用黑客的视角来进行防御。

小欣:非常感谢张雪松老师的讲解,这期课程就到这里了。如果您喜欢这期课程就请大力点赞收藏或转发~还可以在下方评论中留下您想要交流的想法和对本课程的建议~当然也欢迎嘉宾推荐或自荐,咱们下期再见!

【版权归钛媒体所有,未经许可不得转载】

分享课程:
大家都在学
72问 有声书系列 / 中国经济2021
精品小课 揭秘黄金投资:2022年以来上涨表现最好的资产之一
精品小课 阿里人力资源体系课

Oh! no

您是否确认要删除该条评论吗?

全部课程 ( 7 )
倒序播放

00:00
/
00:00
X1.0

注册邮箱未验证

我们已向下方邮箱发送了验证邮件,请查收并按提示验证您的邮箱。

如果您没有收到邮件,请留意垃圾邮件箱。

更换邮箱

您当前使用的邮箱可能无法接收验证邮件,建议您更换邮箱

账号合并

经检测,你是“钛媒体”和“商业价值”的注册用户。现在,我们对两个产品因进行整合,需要您选择一个账号用来登录。无论您选择哪个账号,两个账号的原有信息都会合并在一起。对于给您造成的不便,我们深感歉意。

Baidu
map