微軟內部漏洞庫被黑客黑了, 這是什麼水平的安防?

昨天幾大門戶網站都報道了一件啼笑皆非的安全大事，微軟用來給自己旗下軟件做的漏洞庫，原來在4年前就被黑客神不知鬼不覺地黑了，漏洞庫裏麵的所有漏洞都被黑客獲悉，這些漏洞都是價值連城的，平時黑客是費盡心思想發現，沒想到微軟自己專門“屯”漏洞的數據庫如此不嚴密，可以想象，黑客的表情一定是“笑納”了。

這事影響可大可小，2015年的時候，擁有Firefox瀏覽器的Mozilla基金也曾有過類似的情況，整個漏洞庫被拖庫了，嚇得Mozilla馬上緊急呼籲大家采取補救行動。這次，微軟淡然回應，至今沒監控到相關的漏洞被用於特別攻擊，而且隨後已經陸續修複了這些漏洞，如果用戶都有升級的話，應該會沒事，當然這隻是微軟的說法。實際上，由於大客戶都有自己的安全策略，不是完全跟著微軟的自動升級打補丁策略來走的，而且，安全業者都認為微軟的監控標本量不夠大，沒有說服力。

簡單來說就是可能黑客早就利用這些漏洞潛伏進去其他大公司的內網了，但是人家不會告訴你，所以微軟也不知道實際影響會有多大。

再簡單來說，就是大家平時辛辛苦苦如何做好網絡安全防護措施，還敵不過黑客把整個微軟漏洞庫搬過來，有條不紊地開發木馬工具。

令人很奇怪的是，微軟應該對網絡安全有刻骨銘心的了解，卻連漏洞庫做簡單的物理隔離措施都沒做。這句話什麼意思呢？就是說，如果你手頭上有一個價值連城數據庫，你首先作的最壞打算，就是黑客會最終找到這個數據庫，所以，必須拔掉網線（這個是打比方，意思就是斷掉網絡連接），把這個數據庫用單機版的形式來處理，這就是物理隔離。

如果公司有好幾個程序員都要問你要這個漏洞庫的資料來查，去修複漏洞，為了安全起見，你不得不重新把數據庫聯網，但是你會用多重的驗證方法，確保這個數據庫隻能內網訪問，而且能隨時對訪問用戶的來路一清二楚。

以上隻是為了科普而做的形象比喻，實際的安全操作當然不會跟上述完全吻合，道理是一樣的，具體做法是不同業者各顯神通。我想說的是，起碼要有這個安全防護意識，才會有進一步的安全策略。但是，這兩點，微軟此前都沒有做，黑客是從外部黑進去的。可見與這個漏洞庫相關的負責團隊，安全意識低得令人發指。微軟的回答是發現被黑之後就提高了安全策略措施，亡羊補牢，采用二步驗證措施。這其實說明了不是微軟防不了，隻是在黑客入侵之前，壓根就沒想到認真去做。

我們普羅大眾從這事可以吸取的教訓是，所謂的“單機版”，其實是有必要存在的。我們在拜訪各行各業的時候，發現很多時候企業是全盤聯網了，所謂安全策略就是搞幾個移動硬盤備份，但是這些移動硬盤一旦插進去聯網的電腦，說到底還是容易受到牽連損害的。現在很多企業都有老電腦打算淘汰，其實完全可以留兩台來做備機，以不聯網的“單機版”形式存在的，無論是關鍵數據存儲，還是單獨出來的信息處理，都很有用。