網安專家解讀快手事件：失控時間長、動機不明，應增強安全防禦

12月22日22時許，快手平臺多個直播間出現涉黃內容，23日0時前后，快手直播入口關停。

23日快手科技發佈公告稱，快手應用的直播功能於22日22時左右遭到網絡攻擊，公司已第一時間啟動應急預案，經全力處置與系統修復，快手應用的直播功能已逐步恢復正常服務。公司始終嚴守合規底線，堅決反對任何違規內容及行為。公司強烈譴責黑灰產的違法犯罪行為，已就上述事宜向公安機關報警並向相關部門報告。

一位從業多年的網絡安全專家告訴新京報記者，此次快手被網絡攻擊持續時間長、動機不明，很不尋常，這一事件必然會對網絡安全行業產生比較大的影響，相關平臺應增強安全防禦能力。以下是新京報記者和上述專家的對話。

新京報：和以往針對公共平臺的網絡攻擊相比，這次針對快手的攻擊有什麼特殊性？

網絡安全專家：這次惡意攻擊之后，平臺風控系統失控時間比較長，社會面影響擴散得很大，這是很不尋常的。通常情況下，平臺遭遇的絕大多數網絡攻擊，都在外部沒有感知的情況下就已發現處置了。

還有一個反常之處，一般黑灰產發起的網絡攻擊都能看出明確的經濟動機，比如發廣告、做惡意推廣、搞詐騙等形式，這次攻擊主要是在直播間擴散大量淫穢內容，擾亂社會秩序，至於是否涉及竊取個人信息、詐騙等行為，尚不清楚。

新京報：出現這種長時間失控可能的原因有哪些？

網絡安全專家：如果風控系統暫時處置不了風險，那一般來説也會第一時間緊急停止服務，切斷影響。這次快手的失控發生這麼長時間，有可能是攻擊者發現了比較大的漏洞。直播推流需要權限驗證，我推測，平臺有可能在檢測響應上出現了某些技術或權限方面的堵點，具體的根因未知，導致平臺無法在發現風險的第一時間停止服務。

新京報：快手成為此次攻擊的目標，是否説明存在技術架構、內容審覈模型的固有弱點，這種帶有直播屬性的短視頻內容平臺是否存在的額外風險，需要更高等級的防護？

網絡安全專家：直播行業的網絡安全監管嚴格，平臺企業在安全方面向來都是嚴陣以待。快手這類大型互聯網公司由於巨大的影響面，在網絡安全方面投入與金融機構相似，力度相對很大，且傾向於自建安全團隊，內部技術防禦能力過硬。但遇到突發情況不會找外部團隊做應急處置，而是傾向於內部處理，他們用的一些安全防禦軟件也都是自主研發的。

新京報：如果平臺已投入巨大資源做安全，仍防不住此類攻擊，這是否意味着「防不勝防」是一個常態？

網絡安全專家：網絡攻擊確實防不勝防，快手作為一個大型內容平臺，整個攻擊面太大了。如果攻擊者發現一個致命的漏洞，特別是權限相關的致命漏洞，整個防禦機制可能瞬間被突破。

新京報：在你看來，此次遭大規模攻擊事件發生后，快手會採取什麼措施健全自己的安全防禦機制？

網絡安全專家：快手網安團隊現在的首要目標是把這次攻擊的根因搞清楚，揪出哪一個關鍵環節被突破了，採取一些相應的控制措施。

我覺得，關鍵環節的事后覆盤、演練也很重要，涉及直播、短視頻等業務運作的各個關鍵環節，比如直播推流等有必要做演練，重新檢測安全機制是不是存在漏洞。建立突發情況下的快速響應機制也十分必要，在遭遇大規模內容安全攻擊時，如果對於恢復時間不能有準確的預期（這需要紮實的運營基本功），第一時間切斷服務纔是明智之舉。

新京報：快手事件會對網絡安全行業產生哪些影響？

網絡安全專家：當前網絡安全很大程度上是由攻擊事件與合規（注：指根據相關法律法規和標準要求，對網絡系統進行合規性評估和整改）共同驅動的，快手事件必然會對整個網安行業產生比較大的影響。事后，在國家監管層面，有關部門會要求同類平臺增強安全防禦能力、加大投入。其他內容平臺在事發后大概率也擔心自己遇到同類攻擊，也會產生相應的連鎖反應，主動升級自己的安全防禦機制。

以前出現過室外的電子大屏被黑客攻擊播放非法內容的情況，發生這種惡性事件后，上級監管部門強制要求室外大屏公司必須實現在幾秒之內斷電的功能。當然互聯網系統停止服務的邏輯比直接給大屏斷電要複雜得多，需要更多的技術投入和摸索。

我推測，快手事件后，隨着監管部門有所動作，各大平臺也會建立一個第一時間切斷服務的快速響應機制，規避類似情況的發生。

新京報：普通用户如何避免類似事件可能帶來的風險？

網絡安全專家：建議用户在終端安裝可靠的安全軟件。如果快手事件中的涉黃視頻里面包含一些安裝不明軟件的惡意引導，比如惡意鏈接，安全軟件一定程度上可以阻斷病毒或者惡意程序。