你将读到关于网络安全威胁的故事是真实的;考虑到尊重当事人的隐私,只有人名和地点做了改动。当这件事发生时,我30年职业生涯的辉煌部分都在处理大规模、复杂的全球运营和技术,并且认为我已经看到听到太多,即便不是全部。
我当时在BigWorldBank担任全球消费者集团的CIO已经两周了。负责运营、技术健壮,以支持分布在54个国家的约20万员工和1.5亿客户。行政上我负责大概25亿的年度预算。在最初的两周里,我竟然时而会感觉几乎一切尽在我掌握。
不知是谁说过在一个新的执行角色里,你有100天的时间来找到你的腿并建立你自己。他显然不是一名CIO。
在我上任第二周周五下午晚些时候,电话突然响起。Sonali Kumar是Kafiristan旗舰店的经理,他打来电话询问一个问题。我瞟了一眼手表,注意到是纽约时间下午5:45,意味着他那里是周六早上4:45。我有种不祥的预感——我的第一个100天就在此刻终结了。
“一个顾客打电话来告知他发现了我们在线银行系统的一个安全漏洞。”Kumar说到。“他把自己用的技术录制成了视频,愿意把视频移交给我们,希望能因为他的付出获得一笔咨询费用。我们该怎么办?”
我当时就感到心脏急速跳动,喉咙发干。这是一个网络安全威胁。我忙问他是否见过该顾客或看过那个视频。他表明还没有。意外收获的是,我抬起头,正看到Fred Simon(中东业务区域的业务领导)路过我门口。我让Sonali别挂电话,叫住Fred,并迅速解释了下情况。他建议我命令Sonali在当地报警,并告知警察我们分行的安全性被破坏,然后转身离开我的办公室,正如他出现时一样快。
我琢磨了会Sonali的建议,思考了另外两个注意事项:首先,把顾客关进监狱不像是银行提供的优质服务,尤其在Kafiristan这个司法系统还常用鞭刑的地方。其次,如果我们把这人抓起来,我们可能永远也无法找到他在我们在线系统里发现的安全漏洞。我回到电话旁,指挥Sonali邀请该顾客会面,并通过友好的交谈弄清他到底发现了什么。另外,我还阐明咨询费(任何一种付款方式)不在讨论范围内。我们同意等Sonali与顾客谈完再沟通。
每一个程序,任何网络安全威胁都需要升级,于是我接着打电话给我的老板,公司CEO。我简明扼要地向她阐述了这个情况,然后我们达成一致——我会整个周末都跟进Kafiristan的团队,协调网络安全和风险管理团队,在周一早上向她报告最新进展。最后我祝她周末愉快。
然后,我协调开了一个会议,参会人员有我的CISO,全球风险管理领导和BigWorldBanking在线技术负责人。我简要告诉他们我对网络安全威胁知识的局限性,我们讨论了当前已知的在线银行问题(通常总会有一些)以确认是否有可能我们正在处理的是已知的漏洞。基于已知的事实,我们一致认为,目前没有足够的信息来得出任何结论。
我的电话在周六凌晨3点响起,对应Kafiristan的下午2点钟。是Sonali来汇报最新的进展。距离网络安全事故发生,已过去15小时。
Sonali先为吵醒我感到抱歉,然后告诉我他已经跟那位顾客沟通过,顾客同意进行私人会面,并当场揭示他发现的漏洞。没有进一步提到咨询费用。
我谢谢Sonali提供了最新进展,并要他在私人会面结果出来后给我打电话。我感到有点被激励了,似乎情况正朝好的方向发展。我能得再睡一会了。
周六晚上10点(Kafiristan周日早上9点),Sonali打电话来告知我,他已经跟那位顾客会面了,也看了视频,并且从顾客那得到了一份拷贝。谢天谢地,仍然没有谈论到咨询费或者其他形式的酬劳。我表扬Sonali在处理这种情况时所表现出来的专业技巧,并让他给我发一份拷贝。半小时后,我正抱着极大的兴趣观看该视频。我看到的是一个相当典型的BigWorldBanking在线对话,一切都看起来很正常。
接着,我看到顾客完成交易后,没有退出登录,而是简单地通过点击右上角的“X”关闭在线银行窗口(不是浏览器)。然后他打开浏览器历史窗口,找到刚才他浏览的在线银行会话的网址,当他点击该网页地址时,“好像施了魔法”,浏览器重新打开了他刚刚离开的页面。
这就是那个顾客起初要求咨询费的所谓漏洞吗?为确保万无一失,我打电话给Sonali以回顾和确认我对正在观看的视频的理解。我的理解是对的。那名顾客发现的并不是漏洞,而是浏览器的工作机制:关闭一个窗口,然后它消失,打开同一个的窗口,然后它出现了。
我给CISO,全球风险管理领导和BigWorldBanking在线技术负责人发了一份视频拷贝,以征询他们的检查和评估。网络安全威胁惊吓、结束。
周日早上跟我团队的跟进电话中,我们再次确认没有发生任何安全漏洞,因为没有个人身份认证信息显示出来。如果客户没有重新输入他的密码,就不会执行任何金融交易。如果窗口被关闭超过30秒,顾客的在线对话会自动超时。我谢谢我的团队,并结束了通话。我决定放松并享受夏季美丽的一天的剩余时光。
第二天早上,按原定计划,我面见老板,给她陈述了情况。我们都放下心来,尤其是我,没有因为这个事情就把顾客关进监狱。相反,我们决定送他一个46英寸的平板电视作为礼物,以奖励他的高度配合,以及他想帮助我们改进产品和服务的主动性。
处理这种潜在网络威胁事故让我吸取了几个经验教训:当你需要作出重大决定时,尤其涉及到客户和监狱时,一定要了解真实情况后再作出重大行动;当你觉得你已经见识过所有东西时,请三思。
好文章,需要你的鼓励
最新数据显示,Windows 11市场份额已达50.24%,首次超越Windows 10的46.84%。这一转变主要源于Windows 10即将于2025年10月14日结束支持,企业用户加速迁移。一年前Windows 10份额还高达66.04%,而Windows 11仅为29.75%。企业多采用分批迁移策略,部分选择付费延长支持或转向Windows 365。硬件销售受限,AI PC等高端产品销量平平,市场份额提升更多来自系统升级而非新设备采购。
清华大学团队开发出LangScene-X系统,仅需两张照片就能重建完整的3D语言场景。该系统通过TriMap视频扩散模型生成RGB图像、法线图和语义图,配合语言量化压缩器实现高效特征处理,最终构建可进行自然语言查询的三维空间。实验显示其准确率比现有方法提高10-30%,为VR/AR、机器人导航、智能搜索等应用提供了新的技术路径。
新一代液态基础模型突破传统变换器架构,能耗降低10-20倍,可直接在手机等边缘设备运行。该技术基于线虫大脑结构开发,支持离线运行,无需云服务和数据中心基础设施。在性能基准测试中已超越同等规模的Meta Llama和微软Phi模型,为企业级应用和边缘计算提供低成本、高性能解决方案,在隐私保护、安全性和低延迟方面具有显著优势。
IntelliGen AI推出IntFold可控蛋白质结构预测模型,不仅达到AlphaFold 3同等精度,更具备独特的"可控性"特征。该系统能根据需求定制预测特定蛋白质状态,在药物结合亲和力预测等关键应用中表现突出。通过模块化适配器设计,IntFold可高效适应不同任务而无需重新训练,为精准医学和药物发现开辟了新路径。