摊上事儿的网易邮箱和安全圈的那些“防御机制”

10月19日下午，乌云曝出的一条预警消息再次引爆了安全圈。

话说这次摊上事儿的是网易邮箱，据乌云的预警消息称：“有白帽子报告网易的用户数据、库疑似泄露，影响数量总共近5亿条，泄露信息包括用户名、密码(MD5)、密码提示问题/答案、注册IP、生日等。”

联系到近来许多网友抱怨其iCloud账号被黑，绑定的iPhone手机被锁敲诈事件，而他们最大的共性，就是都采用了网易邮箱作为iCloud账号。似乎网易邮箱这次摊上的事儿有点儿大。当然，目前仅凭这一点这并不能作为问题出在网易邮箱方面的证据，其实早在前几天，有关网易邮箱账号发生数据泄露的事情就已经传出，网易对此还做出了回应声明。

在这份最初的网易声明公告中称，网易邮箱数据库并不存在被攻击和泄露，出现问题的账号是因为用户在其他网站使用了与网易相同的账户名和密码。也就是我们时常所说的“撞库”。同时，网易还强调了自己已取得的各种安全证书及认证等等。总之小编我觉得这公告意思就是：“我怎么会有问题呢?你自己不小心，怪我咯?”

然而今天乌云的预警说明事态仍旧在蔓延中，乌云的预警发出后，这一消息通过微博、朋友圈等迅速传开，就在大家纷纷关注事情的进一步确切进展时，网易再次发布了公告。公告再次否认了邮箱遭攻击或发生数据泄露，并再次强调了之前声明中的各方面措辞，除此之外，网易邮箱在公告开篇就特别指出：关于数据泄露的报道，不实!

网易的再次回应也再次引发了安全圈一片哗然，因为就目前的情况来看，已有不少网友反映用网易邮箱绑定的支付宝、游戏账户以及iCloud账户等出现异常，并收到相关网站发来的安全警告邮件等等。而根据今日出现问题的icloud用户致电苹果客服得到的答复也表明：最近一周苹果接到大量iCloud账户被盗投诉，其中99%的注册邮箱为网易邮箱。

如此一来，一场胶着的拉扯似乎正在上演中。虽然目前各方谁也没有拿出确凿的证据证明问题确实是或者不是出在网易邮箱这里，但随着所有问题的发展均指向网易邮箱时，网易的两次回应都是一副“不关我事，我怎么可能会出问题”的底气十足的姿态，甚至连想要去探究一下问题出在哪里的意思都没有，小编我也是看醉了。据小编刚刚得到的消息，目前国家互联网应急中心已介入此事件，关于这一事件的后续发展小编也会持续关注，在此先不做过多评论。

[[152692]]

那么接下来小编想要说的是，看到网易邮箱针对安全事件所做出的回应，大家有没有觉得这步骤模式很是似曾相识?其实细细想来，在如今这个不被攻击都不好意思出来混的时代，发生被攻击了、数据泄露了并不稀奇，被攻击说明你有被攻击的价值，而因为自身原因出事儿的也正好可以借机加强安全防御，权当做个前车之鉴。只是每当发生此类安全事件，事件发展基本都是白帽子们最先揭露，然后经过乌云等安全平台以及媒体公布，涉事公司最先采取的反应几乎都是各种措辞的否认。接下来，根据事情发展的态势不同，各个涉事公司的态度也变化万千，但基本的路数都是能找借口开脱的绝不会放弃辩解的机会，最后实在是在各方分析与铁证面前无力辩驳了，才会道个歉之类的。

在这里小编想要说一句在安全圈早已说烂了的话：“所有安全的攻防对抗说道底都是人的对抗。”想想这话真是没错，因为所有的事件，攻击也好，防御也好，还是遭遇安全事件后作出危机公关的回应也好，这一切都是由“人”本身来操作、来完成的。因此，接下来，小编想跟大家探讨一下安事件中的“防御机制”问题。特别需要说明的是，这里我们所探讨的“防御机制”并非安全技术和产品以及对抗思路方面的防御机制，而是作为安全事件中的每个“人”本身的“心理防御机制”。

那么，这人的心理防御机制又跟安全事件有神马关系?小编我觉得这两者实在是有很多可以类比的地方。首先普及一下，通俗的说，人的心理防御机制是指人们遭遇各种事件时所采取的各种不同心理应对方式，积极的应对方式如合理化、升华等等，会让我们迅速祛除困扰，激发正能量。而消极的应对方式如否定、推诿、逃避等等则会起到一些负面的作用甚至引发更糟糕的状况。

而每当发生安全事件，作为事件当事公司，便如同我们每个人遭遇应激事件时候的状态非常相似。危机公关几乎是这一时刻每个涉事公司最先需要做的事情，危机公关怎么做?这就如同我们人遭遇应激事件时要立即采取心理防御机制来应对差不多。那么，采取怎样的“防御机制”来应对应激事件，这里面可就有的说了。

正如前文所说，在近两年来引发公众普遍关注的安全事件中，涉事公司一般在最初都会采取否认、推诿的做法，具体都是谁怎么做的小编在这里就不点名多说了，时常关注安全圈的你们都懂的。

不得不说，否认和推诿是一种原始而简单的防御机制，将不好的事件进行“否定”、当做没发生;或者“推诿”，将原因归咎于其他理由或找别的东西承担过错，以获取心理上的安慰，这对于人本身的成长而言真是没有半点好处。那么在安全圈的现实事件中，类似的否认、推诿的做法除了可以作为遮羞布临时很好的保全涉事公司自身的“面子”之外，小编我实在想不出还有其他的什么好处。当否定和推诿完之后，原本存在的安全问题仍旧会在那里放着，丝毫不会因为你的否认和推诿便自行消失，安全事业的车轮也不会因为你的否定和推诿会向前推进半步，最后遭殃的还是广大的用户以及涉事公司自身。小编就不明白了，这“面子”真就这么重要么?但就此类涉事公司而言，面对问题死不承认的“面子”能够厚到如此程度也是蛮令人佩服的。

或许客官看到这里要有话说了：难道这安全圈有没有积极的防御机制存在?就没点而正能量的榜样么?有!说到这小编不得不提到安全界的老大哥卡巴斯基，大家都知道人家在前几个月遭遇了隐秘而又严重的APT攻击。作为一家本身从事安全事业的公司，居然遭遇了攻击，这事搁谁身上那都得是重大打击。事情一经曝出，网络上也出现了“卡巴斯基被打脸”之类的说法，可以说这面子真是丢的一塌糊涂。在这样的重大应激事件面前，卡巴斯基人家不但毫不避讳的承认了被“打脸”不说，还就此指出该事件说明这全球的安全形势已经严峻到一定程度了啊!小编认为这可以类比为“合理化”的防御机制，不仅仅如此，接下来卡巴斯基人家还发布了详细的攻击事件报告，以自身经验教训分享给业界，以此警醒同仁注意。小编想说的是：这不就是华丽丽的“升华”吗?

然而在小编的印象中，相对于卡巴斯基承认遭受攻击和发布事件详细报告的积极的防御机制的相关报道，事件最初被曝出时候的“打脸”的消息似乎更多地被人们所关注。小编也是好生奇怪，这正能量来了怎么就当做没看见呢?不得不说羡慕嫉妒恨的情绪真是一点都不能推动人类文明的发展。

此外，小编我还想强调的是：作为用户以及看上去是每次安全事件中受害者的你、我、他们，不要以为在所有的安全事件中我们真的就仅仅只是无辜的受害者。前面说了，所有安全的问他归结到底都是人的问题，那么“人”也包括作为用户个体的我们每一个人。

纵观已发生的安全事件，堡垒从内部被攻破的例子真是不在少数，特别是现在流行的APT攻击。处在随时随处都有安全风险的黑暗森林时代的你我他，平时丝毫没有安全防范意识，往往在在好奇心的驱使下点击了钓鱼链接、在毫无顾忌的情况下不管什么wifi见者必连;不知道什么是正确的安全操作步骤，认为安全只是IT或安全部门抑或只是安全厂商和安全设备的事情，这就好比家里装了防盗门而从来不去锁而被盗后却又归咎于锁不管用保安没给你看好门一样。这些难道不都是当下你、我、他对于安全认知赤裸裸的写实么? 所以，别总觉得点儿背怨社会，每一次安全事件总会在发生之前积累下重重你我从未意识到的隐患。所以，当我们认为自己成为了“受害人”时，也请不要采用“逃避”、将所有问题外归因的防御机制去无视自己所要背负的那部分责任。

好了，从一个网易邮箱的话题引出了后面如此众多看上去不太搭边的话，最后言归正传一下，小编我在这篇文想要表达的意思就是：安全并非只是技术和设备层面的事情，对安全的意识形态层面的重视和正确认识不到位，再强大的技术和设备所能起到的作用也是极其有限的。这个世界还有很多未知的威胁等待我们去应对，只有当安全的技术与意识做到双剑合璧，威力才会无穷。那么，致力于推动建立安全世界的你我他们，请从此刻开始正视每一次安全事件的发生，当面对危机时，抛弃那些消极的防御机制，从采取积极的防御机制做起吧!