谷歌退出門，是否緣起黑客攻擊這不好說。總結一下，就是包括谷歌在內的30多家美國公司被黑客用一個IE 0DAY漏洞給入侵了。谷歌退出門的具體TIME LINE可以看sowhat的blog《谷歌退出門始末》。素包子在這里針對安全的范疇八卦三個故事。

1、IE 0DAY。這沒啥好說的，就兩個字了得：牛X。具體信息可以參考SecurityFocus的描述，微軟也對此發布了一個安全公告。據國外媒體消息，這波0DAY攻擊包括但不限于微軟IE瀏覽器。越來越兇猛的0DAY漏洞，越來越隱蔽的后門木馬，時時刻刻挑戰著企業的信息安全。全球500強，今天你安全了嗎？

2、據美國媒體稱，這被黑客攻擊的30多家美國公司，包括但不限于Google，Adobe，Yahoo，Symantec，Northrop Grumman，Dow Chemical。包子給這次攻擊的點評是：“立意優秀”，因為黑客瞄準了Symantec。Symantec的安全主打產品是保護企業終端安全的 Symantec Endpoint Protection，它在市場上占有絕對領先的地位；然而一個全球最牛X的企業終端安全安全產品的公司竟然被0DAY漏洞入侵其企業終端，這實在是有點讓人啼笑皆非。（沒錯，這句話有點拗口，說白了就是一個全球最牛X的保鏢被一個鄉村農夫用鋤頭給打倒了）；一個安全公司自身都不安全，想想就覺得可怕。下圖是Symantec Endpoint Protection的界面，想必在大企業工作的同學應該相當熟悉了。

嗯，這段比較有意思，多噴幾句。這個時候mcafee出來說話了，意思大概就是：你Symantec的Symantec Endpoint Protection不是很牛X嘛，咋還被0day給整了？我的Mcafee就沒這么挫，好歹也有個緩沖區溢出保護，你看，黑客即使有0day，不也是一樣進不來。下圖是mcafee的緩沖區溢出保護設置界面。

客觀的說：Symantec SEP應該加強對未知漏洞的防御能力；Mcafee應該加強其市場能力，并大力改善其產品的用戶體驗，盡量keep it simple and stuipid，我想mcafee應該不會主要依靠產品培訓盈利，對吧。

3、這30多個美國企業如何在短時間內發現自己被入侵？一個企業如果具備安全事件自我發現能力，那么這個企業是安全還做的不錯的。從國外新聞內容來看，有Mcafee，idefense兩大安全公司參加了這次安全事件的分析。素包子猜測如下：

A、某家公司發現網絡及主機異常，并且該公司和idefense有商務關系，要求idefense對該事件進行安全應急響應。

B、idefense對相關主機及數據進行分析，提取出相關特征。

C、在美國互聯網出口鏡像中搜索匹配該特征的數據，由此可定位出美國有哪些公司被該漏洞入侵。

D、把相關特征作為策略下發到Mcafee的入侵防御系統里，通過在企業內部署Mcafee的入侵防御系統InstruShield來檢測有哪些終端被入侵。插一句，mcafee的這個產品用起來就賊麻煩。

我們回過頭來看看，在上述ABCD四個步驟中，最關鍵的就是A步驟，但是這一步里最關鍵的不是技術，而是責任。那這個責任從何而來？素包子認為：要打屁股，還要有糖吃。一是通過規范企業運營中的安全相關環節，在出問題的時候打屁股，懲罰責任人；二是要給安全相關人員足夠的認可、獎勵和權力，我實在無法想象一個收入較低的監控人員會用心去發現一個細微的異常并努力從頭到尾跟進這個異常。

從企業的角度來說，總希望安全人員拿60分的錢做100分的事；但從大多數情況來看，一個月入5000的人，一般情況下是不愿意持續去做一個月入10000的事的。這個時候企業容易呈現“看起來貌似很安全”的狀態，據素包子所知，國內不少企業是處于這個狀態的，各自都是啥情況，我想大家自己心里最明白不過。一分耕耘一分收獲，沒有勤懇耕耘的牛，哪來豐碩的果實呢？

綜上所述，企業要想獲得真正的信息安全，除了具備顯性的信息安全手段之外，還必須左手一個大棒子，右手一個大奶糖；做的不好要大棒的打，做的好要給予足夠的獎勵；否則，企業容易處于“看起來貌似很安全”的狀態。

知易行難，企業的信息安全需要企業和安全人員共同營造，大家一起努力吧！