前言

近日，来自国外的研究人员提出了一种新的技术，可以从智能灯泡获取用户的数据。举个例子，研究人员能够从远处记录智能灯泡的亮度模式来获取用户的偏好。

黑客不需要入侵用户的内部网络来提取信息，但需要满足以下条件才能行动：

使用的设备要能够直接观察到目标智能灯泡；

智能灯泡需要支持多媒体可视化和红外等功能。

“看见”用户的音乐和视频

来自德克萨斯大学圣安东尼奥分校的Anindya Maiti和Murtuza Jadliwala研究了LIFX和飞利浦Hue智能灯泡如何接收指令来实现各种显示效果，并开发了一个模型来解释用户在听音乐或观看视频时，联动的智能灯泡发生的亮度和色彩调制。

在播放音频时产生的可视化效果，其亮度等级反映音源情况，而在播放视频时则可反映当前视频帧中的主要颜色和亮度级别。智能灯泡应用程序通过向灯泡发送特殊格式的数据包来控制显示效果。

两位研究人员创建了一个模型，只要输入歌曲个视频亮度模式的数据库，就可以通过捕获的目标智能灯泡信息得出参考结论。

与电影联动的LIFX可视化效果

个人设备数据泄露

在某些特定条件下，还可以从个人设备中提取信息，但此时对光线变化的简单观察是不够的，需要满足以下条件：

灯泡需要支持红外照明；

无需授权即可通过本地网络控制它们；

在本设备中植入恶意软件，对目标设备的私人数据进行编码并将其发送到智能灯泡。

室内和室外观察点

研究人员使用两个观察点来捕获数据：室内和室外。在音高发生变化时，振幅和波长也相应地发生了变化，如此一来智能灯泡（LIFX）发出的可见光和红外光谱就可以被设备捕获，进行解码。

为了测试通过红外发射获取数据的方法，研究人员选择发射源对图像进行编码，并在不同距离对智能灯泡进行观察并解码数据。

从下图可以看出，随着视距变远，解析得到的图像质量也相应变差，但是在50米的距离上仍能获取有效的信息。

总结

虽然两位研究人员的工作是实验性质的，但它表明使用红外线或可见光仍可从相对较远的距离上窃取有意义的信息。

防御这些攻击的方法比较简单，拉上窗帘或者选择透光率低的窗户玻璃也是一种充分的防御措施。

*参考来源： Bleeping Computer，Freddy编译整理，转载请注明来自 FreeBuf.COM。

2018年8月20日，子弹短信正式上线。老罗仍然用一贯“改变世界”的口吻向世界宣布，子弹短信上线仅7天完成第一轮1.5亿元融资。但是近日产品爆出“信息泄露”、“涉黄社交”等安全隐患，想要冲破微信、短信原有的社交生态，初生的子弹短信究竟能走多远？

“超高效率沟通”—子弹短信

子弹短信，是由北京快如科技研发、锤子科技投资的一款即时通讯App，其最大的亮点是高效沟通。

而这款次时代社交工具不仅支持语音、文本输入，同时还支持“语音输入、文字输出”。从子弹短信官微的介绍来看，“做一个超高效率的即时通讯软件”是子弹短信团队的愿景。而“语音”成为其突破的重中之重。

初版就功能来看，老罗和快如科技的确做出了许多尝试和努力，其中最主要的功能如下： 

主要功能

以“语音”作为突破口，子弹短信选择与科大讯飞合作，用户可以自己选择发送信息的类型，用户可以同时发出「语音+文字」，其中语音可以拖动进度条，识别率高达97%。

除此之外，为了使用更加便捷，子弹短信采取了不安装也可以使用的设计。也就是说当其他用户收到了子弹短信之后，可以通过进入网页版直接查看信息并回复。 

在国内的互联网大环境里，老罗似乎是个例外。他带着他的“锤子”一次次向我们走来，对于勇敢的“异世者”我们总是充满期待和宽容。

这次的子弹短信也不例外，正式上市后热度迅速飙升，上线两天冲到了 App Store 社交免费排行榜第 2 名，上线九天其激活用户量就超过4,000，000。

疯狂的热度和期待背后，我们暂时没有迎来社交方式变革，反而暴露了“隐私泄露”、“涉黄社交”等一系列问题……

“任性条款”，信息泄露堪忧

在产品发布后，有人爆出子弹短信存在严重的漏洞。

网页版信息泄露

首先，个人信息可以通过网页浏览器查看，并且查看用户信息的页面采用可遍历的设计，还将用户ID直接作为链接地址，按照网址规则输入用户ID就可以查看到具体的用户信息。

而这用户信息不光子弹短信的ID，还包括账号所在地、对应的微博账号、微信账号、QQ信息、Smartisan账号等信息，最可怕的是这些在页面上被明文保存，当页面被打开这些信息也会被加载到本地，中间没有任何加密和其他安全措施。

也就是说，当你通过子弹短信发送消息时，会生成一个用户信息页面，里面记录该用户所输入的个人信息，并且该页面允许任何人查看。这样的“开放性”背后带来的的风险不可想象，首当其冲的就是“脱库”风险。在这样无加密的环境只需要编写一个程序，根据ID顺序依次访问各个网页并抓取其中字段信息，就可以得到一个庞大的用户数据库。

网友担忧

如果说按子弹短信官方给出的数据，仅上线9天，这个数据库一旦被脱库，就将有4,000,000个用户信息可能被泄露，后果不堪设想…… 

而目前大部分平台（比如微信）在网页版是需要校验身份的，用户信息多数是去敏的。通过对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。

手机号码泄露

除了网页版出现安全问题，还有部分网友反映添加了对方子弹短信之后界面会显示对方手机号码。

如果结合子弹短信的“发现锤友”功能，那随便添加就能知道附近人的手机号码，这带来的安全隐患也是不容小觑的。

任性的“隐私协议” 

针对上面提到的各种隐私风险，我们不免都有点怕怕的，回头去看子弹短信官方的隐私协议，结果又被吓了一大跳。

收集信息范围较大，包括身份证、面部特征、护照，甚至指纹信息……

而下面这句更是引起来巨大争议，“快如科技将尽可能保障安全，但是对隐私信息的维护或保密无法做出任何确定性的保证或承诺”。

如果说官方都无法确定性保证信息不被泄露，那请问谁能保证？

子弹短信隐私协议

当然，互联网环境如此复杂，多渠道都可能出现信息泄露的情况。但是人家也都没好意思直接说“无法确定性保证”，大部分是根据不同情况做了一些责任的具体分配。

微信隐私保护指引

比如微信在《微信隐私保护指引》中表示，将努力为用户的信息安全提供保障，以防止信息的丢失、不当使用、未经授权访问或披露。并称“将在合理的安全水平内使用各种安全保护措施以保障信息的安全。若发生个人信息泄露等安全事件，会启动应急预案，阻止安全事件扩大，并以推送通知、公告等形式告知用户。”

社交之殇无法避免？

在前几天的文章中我们提到了airdrop中充斥大量“不良”消息（你的”苹果”可能有毒！变身“搭讪”利器，被“黑化”的AirDrop），无独有偶，此类信息又在子弹短信中也出现了。

不仅发送消息，还有很多群组内也充斥着这些信息，而且还缺乏群审核和群拉黑功能，相当于你随手搜群谁都进入……

社群充斥大量不良信息

听说一不小心火到国外也有这茬子事……

老外也在吐槽…

而这里就涉及到子弹短信在设计之初的一个重要功能——“与非子弹短信用户的好友也可以直接发送信息”。

如此一来，结合“发现锤友”、读取通讯录等功能，这简直就变成黑产的“移动信息发射台”，也难怪广大网友不停的吐槽。

网友吐槽

官方目前的监管力度很弱，目前对于这些不良用户和信息要是是用户举报，后台再进行手动处理的模式。

官方论坛回应

官方也在努力

2018年8月29日子弹短信也给出了官方声明，对于上述的隐私泄露等问题做出了一系列的改进。

官方声明

比如对网页版接口进行限频，从而减少“脱库”风险。对于手机号直接显示的情况也紧急修复了。官方的响应还是比较迅速的，在风险转化成危害之前就做出了努力，这大概是老罗和“快如科技”在此次子弹短信事件中做的最明智的一步。 

当然，初生的产品难免磕磕绊绊，广大网友也提出了很多改进的建议： 

账号注销和手机号更绑功能未上线；

对于未注册的用户直接短信发送链接，存在费用争议；

对于新闻信息流大家褒贬不一，目前来看过早的在社交软件中插入新闻（尤其直接是腾讯新闻、今日头条）难免引起不适；

对于陌生人直接发送消息，尤其很多不知名的链接，也很容易让人担忧背后是否安全，平台对于链接来源是否有检测等问题；

不敢点的链接

产品刚上线时，出现很多验证码和注册页面的卡顿、闪退现象，服务器不太稳定，不过这一点官方有在做出回应和优化；

……

聊到这里，至少从目前来看子弹短信的完成度，或多或少有些仓促了。从公司成立到产品第一版仅三个月时间。除了坚果手机自带的版本之外，移动端出来的Bug很多，目前IOS已经更新了四版，更新内容基本上均是修改软件Bug。

互联网圈子，节奏越来越快，老罗想要冲出原有的社交生态，迈出更具有可能性的一步。这是创新，是好事。但是过度的渲染、操之过急的“迈大步子”或许会让用户和创业者都迷失。

用户的隐私安全，应当是所有工作之中的重中之重，不容儿戏。在路上我们还需要再谨慎一些，莫将一片雄心被黑产所用。

参考来源：

1.《锤子子弹短信会成为主流吗？》——知乎

2.《冲上 App Store 榜第二名：罗永浩的《子弹短信》，真的能打赢微信…》——爱范儿

3.《请勿使用锤子的子弹短信，至少暂时别用！泄漏用户隐私，微信手机号一个都没落下，注册完就注销不了账号》——私银

*本文作者：GEETEST极验，转载请注明来自FreeBuf.COM

安博通作为国内网络安全可视化技术的引领者，对网络安全可视化平台进行深度调研。安博通产品经理发现，在过去的一年中，不论是产品、解决方案本身还是未来发展方向，都呈现两极分化的趋势：有的在扎实奋进中上升，而有的在停步不前中坠落，我们将在下文中给出详细分析。

2018四大发展趋势

我们发现安全策略可视化平台品类的产品呈现出以下四个主要的发展趋势：

 

 一、发展闭环的策略和事件架构

看到下面这张图片，长期关注Gartner或安博通的读者不会陌生：

图：Gartner提出新一代自适应安全防御架构

上图是Gartner提出的新一代自适应安全防御架构，强调通过预测、检测、防御和响应的流程实现持续监控与分析，完成闭环防御流程。在今年的RSA会议中，安全策略可视化厂商也纷纷提出类似的架构，例如：

图：Redseal提出快速事件调查架构 

图：Skybox提出自动化策略生命周期管理架构

 图：Algosec提出安全策略管理生命周期架构

同Gartner提出新一代自适应安全防御架构一样，各大安全策略可视化平台厂商都在纷纷强调“流程闭环”的重要性。在2017年的调研中，策略可视化厂商大都只能提供“检测+防御”能力，即可以根据计算的路径地图进行异常检测告警，也可以据此来使用其他安全设备进行防御威胁，但不具备闭环事件的能力，产品方案更加倾向于“运维工具和威胁中心”。而2018年我们看到更多的厂商在丰富自身的解决方案，希望提供“检测+防御+预测+响应”的全流程能力，将产品方案提升到“防御体系”的高度。说到底，可视化产品方案的终极目的还是通过可视呈现来提升安全响应能力，而非为了可视化而可视化。

 

为了实现全流程生命周期闭环，各厂商纷纷进行能力大融合，在平台上支持或完善简单的功能组合：策略路径地图+威胁情报+漏洞分析+风险预警+报表推送+异常告警+策略梳理+响应策略下发，不管实际效果如何，这套方案至少在纸面上走完了“检测+防御+预测+响应”的全流程，在价值层面能够切实地闭环解决某些特定的安全威胁（例如勒索病毒），而不是总在威胁发生后马后炮地给出应急响应方案，这说明策略可视化平台厂商的意识取得了进步。

 

另一方面，为了满足闭环流程，厂商纷纷推出响应类特性。例如，Redseal推出Best Practice（最佳实践）功能，在该功能中Redseal平台对所有设备的操作进行记录，并根据内建的数据库来提示认为可能存在风险的操作，及时提醒用户进行修复响应，以便第一时间缩小攻击面，控制风险范围。

二、用户视角的精细化过程管控

在调研中，安博通产品经理发现，各大厂商相比去年更加强化了工作流（workflow）的概念，尽管各家的命名不同，但其本质都比较类似：将闭环的流程设计为工作流功能，并针对尽量详细的流程定义，通过Step by Step的步骤式操作，站在用户视角进行过程控制。

 

例如，Skybox在系统中使用Ticket概念支撑工作流，系统中定义多个Ticket并行管理，需要在每个Ticket内定义工作流程，流程包括：发起请求->技术细节确认->风险评估->实施细节确认->最终校验的5步。Ticket和用户进行绑定，包括用户创建Ticket、管理自己的Ticket、请求Ticket、处理实施需求、关闭或分析Ticket，高级用户能够处理下级用户的Ticket。

图：Skybox Ticket流程

 

在Ticket流程的引导下，用户将会对每一项业务变更执行精细化的5步管理，在每一步中逐步分析影响后进行评估，流程上不断进行审批，直到最终流程闭环，对于系统内多个正在执行的Ticket和其他工作，使用TASK（任务）概念来进行并发管理。

图：Skybox TASK管理

 

我们最早发现Workflow概念，是在Tufin厂商的产品中，Tufin使用Workflow对策略变更进行过程管控，在2018年Tufin继续加强workflow的功能，其流程包括发起请求、业务审批、目标风险分析、风险回顾和确认（升级版）、技术设计、确认等步骤，通过逐步升级的风险分析，确保策略管理可在长生命周期内进行闭环。

图：Tufin Workflow

 

另一个新特性是，各厂商开始支持用户分权功能，即：可定义不同用户可读写的数据、功能模块范围，也可以定义用户间的级联关系，从而有效地支持复杂的组织架构中多用户不同职权的需求。

图：Redseal用户权限设置

 

三、面向业务、服务业务、运营业务

业务、业务还是业务，在2018年，安博通产品经理看到了各家厂商将产品与业务更紧密的贴合，站在业务运营者的角度执行调度工作。

例如，Alogosec提出Business Flow概念，例如下图中定义网银业务的Business Flow，其子业务还包括CRM业务、ATM业务等等，针对不同的业务进行过程管理。在Business Flow中，产品从原有的管理员视角中跳出，不再关注于策略、子网、IP，而是直接站在业务角度去分析风险和执行处置。虽然从技术角度这个转变并不一定非常困难，但其贴近用户、提升体验、凸显价值的产品设计思路非常值得借鉴。

 

图：Algosec Business Flow

 

对于用户来讲，一项重要的业务就是合规（Compliance）。在产品中，各大厂商也针对合规业务给出了解决方案，例如在Skybox产品进行业务录入和访问关系录入时，其定义并非全靠安全基线（Baseline），而是根据合规需求（例如PCI）提供现成的合规配置模板调用，让合规业务落地变得更为简单。

 

图：Skybox基于模板进行合规业务定义

 

Firemon公司在2018年推出了新品GPC（Global Policy Controller），该产品的理念是直接服务业务、省去中间步骤，在下文的Firemon厂商简析中我们将会介绍该产品。

 

安博通产品经理认为，产品从功能化到业务化的转变，意味着产品希望在最终用户端能得到更广泛的验证，也意味着产品开始走向平稳发展阶段。

 

四、应用环境和数据来源大爆发

从应用环境来看，各大厂商在2018年均推出了公有云部署方案，主要表现为对AWS和Microsoft Azure的支持，而且宣称支持当业务从端切换到云环境时，能够提供不间断的服务。此外，Alogosec等厂商还提出，其产品可以应用于工控领域以及容器领域（例如Docker），可见除了产品特性的纵向增长，各厂商也开始发展产品应用场景的横向增长。

图：Algosec部署适应性

 

此外，从信息来源来看，部分厂商的安全策略可视化平台目前可以支持从SDN环境、SIEM、扫描器、EDR软件等方面采集信息，这种信息来源的爆发式增长，对产品的数据处理和分析能力提出了更高的要求，对于用户来说，从越多的来源获取情报，就能获得越好的安全保障。

图：Redsel信息来源展示

 

安全策略可视化平台厂商分析

Redseal

概述：横向比较来看，与2017年一样，安博通产品经理认为Redseal依然是发展势头最为良好的一家，从产品方案可以看出Redseal在研发上进行了较大的投入，在技术方向上有领导意义。

 

核心能力：Redseal的第一个核心能力在于策略路径的地图计算，安博通产品经理认为在路径地图层面目前Redseal还是处于业界领先水平。

 

图：Redseal策略路径计算地图

 

此外，Redseal在叠加能力方面也在持续投入。自2017年推出与Splunk结合的大数据方案后，在2018年Redseal又与Rapid 7合作联合推出漏洞治理方案，其流程可以实现“发现攻击路径、资产扫描分析、完整路径抓取、漏洞配置修复”的闭环漏洞治理流程。

图：Redseal & Rapid 7漏洞闭环方案

 

此外，Redseal与Splunk在大数据领域持续保持合作，在2018年又增加了多个领域的信息来源，其大数据处理的核心能力也在持续进步中。

 

新产品特性：与Rapid 7的联合漏洞治理方案、用户分权控制、多信源采集等。

 

优劣势分析：Redseal无疑是一家持续创新进步的厂商，所以其核心优势在于研发投入支撑充足，产品迭代迅速，在策略路径计算和能力叠加方面，Redseal的架构具备很强的可扩展性。

 

劣势方面，Redseal在运维方面看起来较为薄弱，例如Redseal并不能提供像Tufin一样好的Workflow和Business Flow工具来帮助用户运维业务和进行过程管理，在业务面向性上相比其他厂商有所差距。

 

Skybox

概述：Skybox在过去的一年中加强了Workflow、TASK等过程管理方面的功能特性，其产品非常贴近业务，在合规方面具备很好的适用性，在漏洞发现和处置方面一直保持不错的势头。

核心能力：Skybox的流程化组织能力是其重要的核心能力之一，如前文所展示的，其Ticket和TASK两个模块构建的工作流工具，能够适应复杂的多任务、多策略、多用户的运维工作，又能够对合规需求给予良好的支撑。

 

图：Skybox合规功能界面

 

新产品特性：Ticket、Task、合规功能等。

 

优劣势分析：Skybox的优势在于强大的过程管理，以及详尽的漏洞信息分析，似乎对于那些具有强烈安全需求的用户更加合适。而Skybox的劣势在于其数据分析和展现能力，其策略路径地图等界面的易用性、多级钻取能力、关联分析能力一直不算太强，似乎不是一个适合“大屏展现”和“态势分析”的平台。

图：Skybox策略路径地图

 

Algosec

概述：安博通产品经理在调研中发现，Alogosec在此次展会上并未展现出特别具体的技术能力进步。另外，Algosec在安全策略可视化平台产品维度上，与其他厂商相比亮点稍显不足，在各方面都有能力但都不突出。

 

核心能力：Algosec的核心能力是Business Flow即业务流，在与安博通产品经理的交流中，Alogosec的产品经理一直在强调Workflow + Business Flow的技术是业界唯一，也是最为贴近用户实际应用的解决方案，安博通的产品经理认同此看法，业务流的确应该是产品发展的一个目标方向。

图：Algosec产品界面

 

新产品特性：工作流+业务流结合等解决方案。

 

优劣势分析：Algosec的优势在于全面，策略路径、威胁治理、合规流程、策略运维都能够支持。但劣势在于平均，其在各个领域都不能做到领先，有些缺乏产品的核心主旨和打动用户的能力。

 

Tufin

概述：Tufin是一家非常专注的厂商，在防火墙安全策略运维方面它无疑是最佳选择，在其他领域Tufin并不涉足太多。

 

核心能力：Tufin的核心能力在于对防火墙安全策略的控制，其方案与各大领先防火墙厂商紧密耦合，包括Palo Alto、AWS、NSX、Fortinet、Check Point、Cisco等等，而且对每个厂商防火墙的解决方案都能完全支持其独特的策略组织方式，加之优秀的策略翻译、策略体检打分等模块，可以说Tufin在策略运维这一领域做到了极致。

图：Tufin与各防火墙厂商的场景化方案

 

此外，Tufin在工作流方案方面是最早的提出者，其工作流功能的成熟度也非常高。

 

新产品特性：Tufin几乎没有所谓的“新特性”，其解决方案与以往并没有本质区别，只是不断地在加强对其他厂商的新品、新版本和云环境的适配，保持其在策略运维领域的领导者地位。

 

优劣势分析：Tufin的优势在于防火墙安全策略运维，在这一领域Tufin无疑是最佳的能力者。其劣势在于全面性不足，在策略路径分析、能力叠加、漏洞治理等方面均比较薄弱。但是，专注到极致的产品在细分领域能够保持领先，也是一条非常值得学习的路线。

 

Firemon

概述：在2018年的RSA展会中，Firemon主要推荐其GPC（GLOBAL POLICY CONTROLLER）新品，该产品是2018年安博通产品经理所看到为数不多的具有创新性的平台产品之一，但在应用层面，安博通产品经理认为落地难度较大。

 

核心能力：Firemon的核心能力依然围绕着安全策略，今年推出的新品GPC，其核心理念是消除中间环节，让策略直接服务业务。

 

GPC主要的功能是进行业务变更时的安全策略下发，解决的应用场景举例如下：在内网环境中部署有20-30台安全设备，服务于数万条业务，这些内容使用GPC进行监控。当某些业务的访问关系需要变更时，可以直接使用GPC产品配置业务访问关系的修改，点击生效后，GPC会根据策略路径自动计算出安全设备的策略修改方案，并将推荐的几种可行方案提交用户，用户选择其中一种方案并提交后，GPC会针对所有安全设备基于方案进行策略下发和业务验证，全过程中无需运维人员参与。

 

图：GPC产品demo

 

在安博通产品经理调研过程中，GPC产品是为数不多的进行大规模配置变更的产品之一。传统上，安全策略可视化平台领域主要进行采集、分析、呈现而不是变更，GPC敢于投入走出这一步体现了Firemon老牌玩家的底蕴。安博通产品经理认为GPC产品在技术上存在非常大的价值，能够确实解决大规模防火墙策略配置的繁琐问题，也能让业务变更更加顺利，让整个策略领域的产品具备了更加重要的地位。但是，从实际应用落地方面来看，企业单位对于策略和业务的变更都有一套成熟的流程要求，是否能够允许软件平台直接对业务进行变更？在很多地方是明显行不通的，所以这个问题可能导致GPC产品的应用场景偏窄，影响其快速打入市场，还需要时间来检验。

 

新产品特性：2018年主推GPC新产品。

 

优劣势分析：Firemon的优势在于其大胆的产品布局策略，GPC产品的发布在业界产生了不小的反响，代表了Firemon的技术创新能力得到认可，但这个产品未来的发展还要看用户的接受度如何。而Firemon的劣势与Skybox类似，在策略路径展现和数据分析方面显得较为薄弱，在合规运维方面也没有太多亮点。

 

安博通

概述：安博通作为国内安全可视化的领导者，2018年安全策略可视化自适应分析平台产品引起了关注。安博通产品方案整体性较强，能力叠加方案具备一定创新性，在国内已有多个成熟应用案例。

 

核心能力：安博通产品的核心能力在于其叠加方案：策略路径+流量分析+安全事件，在分析逻辑上从看见、看深到看透逐步深入，对安全态势的把控更加贴切。从所有厂商的横向比较中来看，安博通产品是唯一支持叠加流量分析能力的策略可视化平台，而在工作流、策略运维、策略路径、漏洞治理等能力融合层面不具备明显短板，综合能力较强。

图：安博通在展会上与用户交流产品方案

 

新产品特性：除了独创的策略路径+流量分析+安全事件的三合一方案之外，安博通还在用户组织架构、业务告警、违规路径、拓扑搜索等方面推出新产品特性。

 

优劣势分析：安博通的优势在于，从核心能力叠加方面，融合程度非常高且具备独特性，是所有厂商中唯一具备“流量”维度的可视化分析平台，在部分模块的技术水平方面，甚至已经领先于美国厂商。而在业务流、合规模板、策略转换等技术领域，解决方案的完善性和UI易用性还可进一步提升，并加强贴近业务的程度。

 

中美对比小结

通过连续几年的调研和对比，安博通对安全策略可视化平台领域的产品具备了较为深入的理解。

 

分析美国策略可视化平台厂商过去一年的变化，有的在升起，有的在坠落：一些厂商他们在升起，持续进行研发投入迭代和解决方案优化升级，努力解决用户问题，找到方向推出亮点产品；而另一些厂商他们在坠落，保持在舒适领域而不敢突破，创新技术的枯竭，必然导致产品竞争力的逐年下滑。

 

分析美国策略可视化技术发展趋势，有的在升级，有的在坠落：不论是闭环生命周期架构、能力融合、业务流程管理还是新数据来源，这些技术发展趋势在用户视角上看的确在不断上升，更加贴近应用场景；但是，从产品技术角度分析，这些解决方案背后的技术逻辑更加偏向于适配、跳转、UI界面翻译、组织形式上的“量变”，而并非我们第一次认识Redseal、Skybox产品时看到的全新理念层面的“质变”，有些产品更偏向于功能的“堆砌”而并真正未达到“融合”的程度，当以创新著称的美国厂商们不能取得质变时，不得不说是一种坠落。

 

观察中美厂商之间的技术实力对比，有的在升起，有的在坠落：以安博通为代表的中国安全可视化力量，以较晚的起步时间取得了长足的产品进步，提出了独特的解决方案维度，在RSA大会上发出了自己的声音，处于良好的上升态势；而美国的安全可视化力量似乎遇到了创新的瓶颈，当力量对比此消彼长时，对美国的网安力量来说，更像一种坠落。

 

诚然，对比美国一流的安全可视化厂商，以安博通为首的中国可视化产品还显得不够成熟，部分模块的呈现风格、业务组织和数据源接入能力还有一定差距。但我们相信，通过持续的跟进和投入，一定有中国厂商在国际舞台绽放的一天。雄关漫道，吾辈还需多多努力，与君共勉。

前言

知名OCR软件ABBYY FineReader软件开发商的MongoDB服务器因配置错误导致超过20万份客户文件泄露。

ABBYY在文档识别、数据捕获和语言技术的开发领域中占据一定的领先地位，ABBYY FineReader是其主打的OCR及文档转换软件，可提供一条龙的PDF解决方案。

得益于较早的起步时间和全面的服务支持，其客户涵盖国内外的企业和个人，这也是本次文档泄露事件发生之后引起各大厂商注意的原因。

事件回溯

独立安全研究员Bob Diachenko于8月19日在AWS上发现了该数据库，大小为142GB，无需登录即可访问。

客户扫描数据并将其保留在云中，该数据库包括敏感的扫描文件，包括合同、保密协议、内部信件和备忘录等，还有一些文件名包含“documentRecognition”和“documentXML”这样的字段，可能是某些数据识别公司基础数据库的一部分。

数据库属于ABBYY的证据来自另一组文档，该文档包含公司电子邮件地址和经过加密的密码字段。

Bob发现给问题后即通知了Abbyy安全团队，两天后对该数据库的访问通道才被切断。

从什么时候开始存在这个问题以及多少人访问了这个数据库目前尚不清楚，但这个数据库可谓是价值连城。

ABBYY的客户涵盖来自各个领域的知名企业，如大众汽车、德勤、普华永道、百事可乐、Sberbank和麦当劳，这还只是冰山一角。

*参考来源：Bleeping Computer，Freddy编译整理，转载请注明来自FreeBuf.COM。