CAGETEST:实实在在做安防
最近一年时间很多网络服务好像变得不那么安全。某当、某东、某程等等大量客户个人资料泄密,让人非常诧异于这些企业在通过用户量说话的同时,却又如此漠视网络安全防护的问题。
我请教了网络安防领域的初创公司 CAGETEST 的 Alfred L,他说:“ 通常一个骇客入侵后,只会默默的呆着收集数据,尽可能在不被你发现的情况下长期偷窥和盗取你的数据。当我们听到大规模数据泄露的时候,其入侵早已发生在很久之前。但黑客,除非他有私人报复意愿,是不喜欢大型事件爆发的,因为危险。所以大部分的入侵不但不会大张旗鼓,反而是非常低调的。但爆发不是因为 ‘数据的积累’ 所导致的。有可能是购买数据的人有意或无意泄露的,或者黑客因为某种原因选择了公开数据。”
换言之,尽管我们最近才看到网络安防的问题,但是实际上只是一个结果而已,骇客入侵早已发生。但可怕的是,若非一个包含了大量个人信息资料的压缩包在网络上流传,不论这些公司本身,还是客户本身,都不知道问题已经发生。就好像一个病人,并不知道自己得了病,日子一天天过,直到病入膏肓才被发觉。
正因为国内网络安全意识淡薄,信息安全仍是一个朝阳产业,Alfred L 才会在今年四处网罗人才,希望为企业提供渗透性测试,提高企业的网络安全系数。所谓渗透性测试,就是模拟骇客攻击的手段,发现安全防御体系漏洞的方法,然后将攻击结果、安全措施建议编写成报告提供给企业。简而言之,渗透性测试是提高企业信息安全的一种方法。
在开展渗透性测试之前,CAGATEST 会事先征求企业的许可,并告知何时开始测试,何时结束,然后一切测试结果,都将提交给企业。Alfred L 说,“我们会先和客户签署合同,详细说明入侵内容并且声明免责,才会进行渗透测试服务。在这里,我们首先必须获得企业的许可,才会进行渗透测试。在没有对方的书面同意下进行入侵已经是违法的了,连勒索都还谈不上。”
Alfred L 说,CAGATEST 的成员都是 “白帽子” 黑客。简单来说,这类黑客会处于善意动机测试企业的安防体系,不过他们发现弱点之后,不会诉诸大众,也不会用来勒索企业,而是会告诉企业弱点是什么,需要保护。仅此而已。
而除了 “白帽子” 这个分类外,黑客还分为 “灰帽子” 和 “黑帽子” 这两种。“灰帽子” 一般来说动机也是善意的,但是他们发现了企业安全防御体系的弱点后,会直接公诸于众——往往这会带来一些麻烦。至于 “黑帽子” 那就是动机不良,完全是以攻击企业,倒卖数据为生的黑客们了,这群人因为危害性大,也被称为 “骇客”。
现在 CAGETEST 成员有十几名,来自国内国外,五湖四海,他们之间用自行开发的私有应用进行联络,作风十分神秘。其实,我能够理解他们这种心理状态,就好比记者普遍患有信息焦虑一样,做安全的自然也有安全焦虑。
与 Alfred L 聊天过程中,他常常说这句话,“网络比你想象还要不安全。” 他说自己有一点强迫症,对安全的需求很高,不愿意在网络上留下太多个人信息与痕迹。而且,也不愿意被别人拍照,如果朋友拍到了他的头像,他常常会要求别人把照片给删掉,即便是用自己手机拍的,也会定期查看,然后删除。有这样的焦虑,才可能有很高的安全意识,也才能称得上是职业素质吧。
现在国内的信息安全情况是怎样的呢?在 Alfred L 看来,仍是处于蛮荒状态。大多数公司的网络意识安全不够高,很多公司的服务器配置甚至是直接复制网络上公开资料的,这相当于给服务器上一把同一把钥匙的锁,骇客完全可以用按图索骥的方法,很简单地就突破了安防体系,窃取资料。
基本上国外的企业,在上线服务之前,或者每次上线新服务之前,都一定会选择做渗透性测试,让信息安全防御体系来一次体检,以确保安全性。但在国内,因为安全意识薄弱的关系,鲜少有企业会这么做——近年来不断爆发的个人信息泄露事件则侧面证明了这一点。
Alfred L 这样形容渗透性测试,就好像每个人每年都进行的体检,让企业提前知道信息安全防御体系的情况,提前做好防护准备。Alfred L 说,和当下疾病防护的道理一样,信息安全也是着重预防,否则出了任何后果都悔之晚矣。伤害已经造成,弥补也是杯水车薪。
Alfred L 做了一个比喻,“渗透性测试其实是让你换一把锁。以安全级别分类,一把锁分 A 级、B 级、超 B 级。A 级,极速开启超过 1 分钟是合标,B 级超过 5 分钟合标。超 B 级是最难的,技术无法开启活超过 270 分钟为合标。我们的目标就是让你换一把更安全的锁,提高别人破解的难度。黑客的时间很有限,如果破解难度加大,提高了破解的时间,相当于提高了他们的成本,那么他们就很可能会中途放弃,而换下一个目标。这样我们的目标就达到了。”
CAGETEST 提供服务的方式很简单,他们只需要客户一个网站,之后的事情就交给他们了。
其实,安全意识薄弱的表现还不在于明文保存密码,而是这个过程中,对安全建议的漠视。我相信,爆出个人信息泄露的企业们,这么长时间以来,一定有用户曾经建议提高安全防护的手段和等级,但最终敏感数据还是泄露了,只能说 “不当一回事” 的心理非常有害。
Alfred L 说,“提高企业信息安全是非常难的事,因为人的本性就是会把方便放在安全之前。而且在思考每个问题的时候都去考虑安全风险确实是很费神,大部分人做不到,所以渗透测试的存在才那么重要。一个人不管再怎么注意饮食和运动,还是需要医生定期检查的。”。但若要从根本上解决问题,那就要让每个人都具备一定的安全防范意识,“而这可能需要长期的投入,几年、十年甚至是十几年。” 而他和团队,都做好了长期作战的准备,“这相当于我们一切都得重头自己做。”
不过,对于未来,Alfred L 还是充满信心的,“我们一开始就打算在信息安防这一块领域里做深做透,在提高人们的安全意识同时,也培育市场。直到未来有一天,当人们提起渗透性测试的时候,就会自动想起 CAGETEST,想到交换机就会想到思科一样。”
“长江后浪拍前浪,前浪死在沙滩上。” 教育用户需要付出极大的成本,而且如果有竞争者尾随,那么在竞争加剧的情况下,CAGATEST 还能保持信心,安之若素吗?Alfred L 的回应是,“没关系,我们欢迎竞争。我们相信国内市场那么大,不是一家公司就能够吃得下的,而且有竞争对手也是好事,这样用户会有更多的选择,也能提升整个业界的安全水平。”
他的另一个信心来自团队成员。这些白帽子们基本上不是科班出身,如非对安防技术十分痴迷,绝对无法成为技术高手,而且每个人的性格都有一种对完美的偏执,“如果不写好代码,不把事情做好,我们就会不舒服。” 对技术的追求、提高,永无止境。
当然,理想主义是好的,靠技术说话也是好的,但面对未来的挑战 CAGETEST 要如何应对呢?Alfred L 心态倒是坦然,“这里我们的态度是一步步做起吧。尽管我们对自己的实力有信心,外面高手还是很多的。但我们爱这件事,哪怕有天渗透测试变成不挣钱的活儿,我们还是会想办法继续做的。”
另外,他也对公司的创新的营收模式有信心——和别的信息安全服务不同,他们不按服务器数量收费,也不按测试时长收费,而是按照最终渗透测试的结果,到底找到多少个安防体系的漏洞数量、质量来收费。换言之,“无渗透不收费”。这种收费模式,相当于 “论功行赏”,这样客户方可以放心服务的质量,CAGATEST 必须做到最好才可能获得更大的收益。Alfred L 说,“据我们所知目前国内外没有其它渗透服务愿意担当完全根据结果来收费的风险。因为真的如果进不去就没钱赚,有可能几十个甚至上百个小时的努力就白费了。” 他相信这种实实在在的作风,能够赢得企业用户青睐。
最近常常耳闻 “互联网思维改造传统行业”,当传统行业纷纷采用数字工具重新梳理业务流程,开始学习新战法的同时,信息安全也是必须反复强调的问题,CAGETEST 或许是一个不错的选择。不过,CAGETEST 的名气要如何传到对互联网世界了解不深的传统企业耳里呢?或许到了 CAGETEST 成为信息安全里的顶级企业时,这个问题就会自然而然地解决了吧。