奇虎360副總裁譚曉生接受筆者采訪時表示，OpenSSL“心臟出血”漏洞是一個分水嶺，在木馬、流氓軟件、釣魚網(wǎng)站、病毒、漏洞威脅等信息安全威脅中，漏洞將上升為最主要的安全威脅，取代木馬與流氓軟件。

 

　　這是消費者們感知到的變化，而對于信息安全廠商來說，這一變化則是一場挑戰(zhàn)：首先是產(chǎn)品模式發(fā)生了變化。在病毒時代，產(chǎn)品模式是盒裝軟件；在流氓軟件與木馬病毒時代，產(chǎn)品模式是聯(lián)網(wǎng)云查殺；在漏洞時代，上述模式均將過時。

 

　　另一挑戰(zhàn)則是商業(yè)模式的變化。盒裝軟件時代的商業(yè)模式要么盒裝軟件售賣模式，要么OEM廠商預(yù)裝的軟件授權(quán)模式；在木馬時代與流氓軟件時代是免費軟件，通過免費軟件獲得用戶，擁有海量用戶之后，就可以做“流量批發(fā)商”。

 

　　從這個意義上說，即將上市的金山網(wǎng)絡(luò)以及市值超過100億美元的奇虎360都屬流量批發(fā)商。

 

　　而漏洞時代的商業(yè)模式是什么？整個安全行業(yè)都需要思考這個問題。新的產(chǎn)品模式，新的商業(yè)模式，新的恐慌，殺毒廠商需要快速應(yīng)變才不致落伍。

 

　　大恐慌

 

　　被命名為“心臟出血”的漏洞，黑客可以獲取到以https開頭網(wǎng)址的用戶登錄賬號和密碼、cookie等敏感數(shù)據(jù)。

 

　　目前多數(shù)SSL加密網(wǎng)站都是用名為OpenSSL的開源軟件包，這也是互聯(lián)網(wǎng)應(yīng)用最廣泛的安全傳輸方法，被廣大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站廣泛使用。據(jù)譚曉生說，“這使得很多用戶都有可能受到攻擊”。

 

　　4月9日上午，360網(wǎng)站衛(wèi)士的OpenSSL漏洞檢測平臺發(fā)現(xiàn)，北京大學(xué)和清華大學(xué)某項網(wǎng)絡(luò)服務(wù)存在“心臟出血”漏洞，同時也監(jiān)測到來自北京聯(lián)通的一個IP針對這些服務(wù)進行漏洞探測，360緊急通知清華大學(xué)和北京大學(xué)進行修復(fù)。

 

　　奇虎360提供的數(shù)據(jù)顯示：360網(wǎng)站安全檢測平臺對國內(nèi)120萬家經(jīng)過授權(quán)的網(wǎng)站掃描，其中有3萬多個網(wǎng)站主機受漏洞影響；4月7日、4月8日期間，共計約2億網(wǎng)友訪問了存在漏洞的網(wǎng)站，超過30%的網(wǎng)站中招。

 

　　360已經(jīng)第一時間向12萬網(wǎng)站用戶發(fā)送提醒郵件，提醒廣大站長盡快將OpenSSL升級至1.0.1g版本，以修復(fù)該漏洞。

 

　　根據(jù)360的統(tǒng)計與跟蹤，盡管OpenSSL“心臟出血”漏洞引起了大面積的恐慌，但目前還沒有用戶反映受到此次事件的影響。譚曉生說，此次OpenSSL“心臟出血”漏洞事件的影響將會在未來逐漸顯現(xiàn)，且會長久持續(xù)。

 

　　譚曉生說，黑客通過“心臟出血”漏洞竊取數(shù)據(jù)，以64K為單位，一個包一個包地偷。SSL標準包含一個心跳選項，允許SSL連接一端的電腦發(fā)出一條簡短的信息，確認另一端的電腦仍然在線，并獲取反饋。研究人員發(fā)現(xiàn)，可以通過巧妙的手段發(fā)出惡意心跳信息，欺騙另一端的電腦泄露機密信息。

 

　　黑客拿到這些數(shù)據(jù)后，需要放在一起進行分析，數(shù)據(jù)越多，價值越大。因此在短期內(nèi)，黑客的目的是為了盡可能多地盜取數(shù)據(jù)，而不是利用已獲得的數(shù)據(jù)。

 

　　除了PC網(wǎng)站之外，移動互聯(lián)網(wǎng)同樣廣受其害。360尚未統(tǒng)計手機APP受漏洞影響的數(shù)量與比例，但譚曉生告訴記者，目前手機APP上使用SSL的比例達到50%。

 

　　手機病毒已經(jīng)成為信息安全的重災(zāi)區(qū)。國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）最新出爐的“2013年互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告”顯示，去年一年手機病毒增加了3.3倍，達到70.3萬個，而與用戶經(jīng)濟利益密切相關(guān)的惡意扣費類和資費消耗類惡意程序占總數(shù)的85%以上，其中針對安卓系統(tǒng)的病毒占到病毒總數(shù)的99.5%，一些手機用戶下載軟件的平臺，甚至主流應(yīng)用市場中都被通報含有病毒應(yīng)用。

 

　　病毒形態(tài)的變異

 

　　軟件漏洞與生俱來，且無法消滅，這使得所有軟件使用都將受到這一威脅。

 

　　譚曉生解釋說：程序中有bug是很正常的，有些程序修改bug到一定程度后就會停止修改，在這軟件開發(fā)上被稱為已經(jīng)進入“一種動態(tài)平衡”狀態(tài)。在這一狀態(tài)，改了舊的bug，就會引入新的bug，甚至引入的數(shù)量多過修改的數(shù)量。

 

　　譚曉生打了個比喻：當軟件規(guī)模達到一定程度時，就會像一個用火柴搭起來的復(fù)雜建筑，一碰就會稀里嘩啦地倒下，比如微軟操作系統(tǒng)。

 

　　并不是所有漏洞都會被人發(fā)現(xiàn)。譚曉生表示，有些漏洞很快被人發(fā)現(xiàn)，有些漏洞可能長期存在，有些漏洞則從生到死都沒有被發(fā)現(xiàn)。漏洞的危害很大，處理起來也很棘手，就像“心臟出血”一樣，如果漏洞不堵，人就會死；但是堵上后會帶來怎樣的后果，用戶也無從得知。

 

　　但漏洞必須得堵，因為馬上死比慢慢死強得多。譚曉生認為，過去引發(fā)信息安全的是病毒、木馬、流氓軟件、釣魚網(wǎng)站等問題，未來則來自各種漏洞。

 

　　譚曉生說：大家有多少年沒碰到病毒了？病毒現(xiàn)在其實更多是一個概念了，木馬、釣魚網(wǎng)址基本絕跡。因為隨著云計算技術(shù)的發(fā)展，殺毒變成了云殺，一個新的病毒、釣魚網(wǎng)址會很快被發(fā)現(xiàn)。

 

　　過去一個病毒動輒傳染上百萬次，現(xiàn)在一個病毒剛剛出現(xiàn)就被消滅了，只能傳播幾次，或者十幾次。導(dǎo)致的結(jié)果就是，開發(fā)病毒程序的成本不變，但每個病毒程序獲得收益卻幾乎可以忽略不計，這樣開發(fā)病毒的人自然減少。

 

　　對于流氓軟件，隨著立法的完善，

 

　　流氓軟件的作者會越來越多地承擔法律責任，即使現(xiàn)在中國的立法比較滯后，但這方面的立法也會越來越嚴，包括偷取用戶隱私彈出廣告等，未來則要承擔更多的法律責任，目前也已經(jīng)大為減少。

 

　　未來的攻擊會是兩類：一類是基于漏洞的攻擊，比如OpenSSL就是基于漏洞的攻擊，包括微軟操作系統(tǒng)、瀏覽器以及Adobe等應(yīng)用軟件都會被繼續(xù)發(fā)現(xiàn)漏洞，一些使用OpenSSL的基礎(chǔ)軟件也會有漏洞，這些漏洞會產(chǎn)生大的安全事故。

 

　　另一類攻擊則是Apt攻擊，就是定點的攻擊，而不是機關(guān)槍掃射式的攻擊。這種攻擊采用長期潛伏的攻擊方式，通常是為了竊取重要的經(jīng)濟信息，獲得的利潤豐厚，造成的影響也巨大。這是“三年不開張，開張能吃三年”的玩法。

 

　　金山網(wǎng)絡(luò)CEO傅盛出席博鰲亞洲論壇分析病毒行業(yè)的變化時說：網(wǎng)絡(luò)安全由以前的反病毒為核心變?yōu)閺姆?wù)端到客戶端，從應(yīng)用到協(xié)議的立體化安全問題。

 

　　傅盛說，十多年前電腦聯(lián)網(wǎng)困難，所以當時的網(wǎng)絡(luò)安全問題更多表現(xiàn)為本地病毒傳播；現(xiàn)在設(shè)備聯(lián)網(wǎng)是前提，所以服務(wù)端、web安全都變得更加重要。攻陷一個web服務(wù)就可能影響上千萬人，對于黑客來說，投入產(chǎn)出比在千萬臺電腦上傳播病毒高多了。事實上，過去一年有大量的密碼被扒庫的事件發(fā)生。

 

　　新商業(yè)模式

 

　　譚曉生說，過去的玩法是薄利多銷，抓一只肉雞最后賣幾分錢或幾毛錢，一個木馬出去抓十萬只肉雞回來，乘以一毛賺一萬塊錢。現(xiàn)在定點攻擊是固定攻擊目標，就盯這一個點打，打下來之后把東西偷走，直接變現(xiàn)就是大單。

 

　　新威脅帶來了大恐慌，譚曉生認為這一背景下的安全產(chǎn)業(yè)也將面臨挑戰(zhàn)。

 

　　譚曉生認為，在個人信息安全市場，已經(jīng)形成免費軟件主導(dǎo)的軟件模式，經(jīng)過激烈的市場競爭后，個人信息安全市場的廠商已經(jīng)形成了資源較為集中的格局。這一市場主要由360、金山網(wǎng)絡(luò)主導(dǎo)，有很強的資金、技術(shù)、人才資源。

 

　　企業(yè)級安全市場卻是一個高度碎片化的市場。以中國為例，目前約有2000多家安全企業(yè)，產(chǎn)業(yè)銷售額約為200億元，其中最大的安全廠商去年營收約為9.9億元，不到5%，平均每家企業(yè)營收不到1000萬元。

 

　　而且企業(yè)殺毒是典型的“關(guān)系型業(yè)務(wù)”，面對的都是大客戶，比如國企、部委，客戶關(guān)系做下來了，單子也就拿下來了，而不是憑產(chǎn)品拿單。在這樣的市場狀況下，很多企業(yè)在人才、技術(shù)、資金方面都不強。

 

　　無論病毒、木馬時代，還是流氓軟件、釣魚網(wǎng)址時代，需要的是即時快速反應(yīng)，高度碎片化市場中的“弱公司”可以用態(tài)度滿足客戶的這一需求。

 

　　但接下來的情況發(fā)生了變化，除了即時快速的反應(yīng)外，更需要強大的技術(shù)實力。因為無論是漏洞攻擊，還是Apt攻擊，黑客都具有很強的技術(shù)實力。如果安全廠商本身實力不夠，根本無法阻擊進攻。

 

　　面對這種高智力的黑客，此前那種靠軟件、防火墻的方式已經(jīng)失效。

 

　　未來企業(yè)級安全市場的格局會如何？一種是銀行、電信這些行業(yè)的大公司，他們將建立強大的安全部門，通過云計算、大數(shù)據(jù)的方式獲取來自網(wǎng)絡(luò)的攻擊，并隨時對黑客攻擊發(fā)起有力的反擊，以保障業(yè)務(wù)持續(xù)正常的運轉(zhuǎn)。

 

　　對于一些無力保護自己的中小型企業(yè)，360、金山網(wǎng)絡(luò)這樣的公司將建立公有云，將服務(wù)售賣給他們。

 

　　新的服務(wù)模式也會催生出新的商業(yè)模式。在木馬、病毒、釣魚網(wǎng)站時代，那種“流量批發(fā)商”的模式仍然適用于個人用戶，但對于企業(yè)用戶來說就不適用了，未來針對這一類客戶，將以新的方式贏利，或者是按服務(wù)時長收費，或者阻擊行為需要的人才、技術(shù)、資金投入來收費，或者其他收費模式。