在全球疫情尚不平靜的當下，很多政府機構、企業都選擇遠程辦公，在提高效率的同時，也帶來了很多潛在的安全問題。

我在幾周前寫過一篇相關的文章《遠程辦公，除了防範疫情，還要防範駭客》，但是沒想到，正如墨菲定律所言，該來的一定會來，而且還來得非常之快。

近日，有網路安全監測機構發現，有駭客組織對我國駐外機構和政府部門進行了有目的的攻擊，還好被及時發現，否則後果不堪設想，其攻擊流程示意圖如下所示：

簡單而言，該駭客組織的攻擊方式為：

1.  很多駐外機構、政府部門使用某國內上市公司的VPN產品連接國內外的辦公室；

2. 該公司的VPN伺服器有些沒有及時更新，存在安全漏洞，被在網路上不停掃描的駭客組織所捕獲；

3. 駭客攻擊進入這些版本較舊的VPN伺服器，替換其更新軟體；

4. 客戶端電腦在連接該公司的伺服器時，自動下載新版本，客戶端沒有對其進行校驗，導致裝上了假的版本；

5. 駭客就可以連接到客戶端，執行惡意代碼，操縱客戶端。

從整個過程來看，我認為本質上存在兩個問題：

1）VPN伺服器版本的更新不及時

這凸顯了對系統軟體、安全軟體及時更新的重要性，因為安全漏洞是永遠存在的，只不過看誰先找到、誰先補上。軟體公司頻繁推出的版本更新，一個重要目的就是彌補各種漏洞，否則時間一長，駭客總能找到機會，更何況現在很多商業軟體中都使用了大量的開源代碼，一旦某段代碼被發現了漏洞，所有使用這段代碼的軟體都必須更新，否則就相當於大門敞開。

譬如，現在還有很多個人甚至企業，還在使用微軟早就不再支持的老版本Windows，一旦漏洞被駭客發現，微軟不一定會推出針對這些版本的補丁，因為不對其提供支持。當然有人會說升級要錢，這是另外一個問題了：安全，當然需要成本。

2）客戶端在更新版本時，沒有進行足夠的安全校驗

這包括檔版本、日期、簽名和哈希值校驗，一個不對都不行。根據網路安全公司分析的源代碼，貌似是只比較了版本，這是一個核心的設計缺陷。

遇到攻擊時，不能怪駭客，而是要把自己的大門補好，否則，這次不出問題，下次也會出問題。這是為什麼很多企業會花錢請人來攻擊自己的原因之一，只有真正的攻擊，才能暴露出代碼中一些深層次的問題。

由此，我不禁聯想到最近炒得火熱的“新基建”。在新冠疫情導致百業蕭條的背景之下，社會上又提出了各種基建計畫，包括傳統的鐵路、公路、機場，也包括新興的特高壓變電站、5G基站等等，這些在我看來，都是增量。

這就像著名的“破窗理論”這個悖論：因為窗戶破了，所以帶來了修理窗戶、升級換代等各種經濟效益，那麼，豈不是我們應該經常主動把窗戶打破？這個顯然不符合正常的邏輯。

為什麼？因為這些錢、精力，我們完全不必用來修窗戶，而可以用於其他更好的用途。那麼，窗戶破了應該怎麼辦？我覺得，我們更應該想辦法，讓窗戶更堅固，下次更不容易破。

也就是說，在發展增量的同時，也許把錢用於維護好存量也很重要，甚至更加重要。那麼存量是什麼？在我看來，就是醫療（建設更多的醫院、護理場所和機構）、社會保障（建設更好的安全網）和養老設施等等。

同樣，在技術領域，大數據、線上教育等各個互聯網行業在這次疫情期間大顯身手，起到了重要的支撐作用，但是在發展增量（不斷推出各種新功能、新模式）的同時，我們也許，也需要放慢腳步，注意維護存量，即加強網路服務的穩定性和安全性。否則，功能越強大、服務越廣泛，受到攻擊之後反而損失也會越大。還是那句老話，我們應該在晴天修屋頂，而不是等到颱風來了再修。

在技術行業，有個專門的詞形容這種不斷積累的風險“存量”，叫做技術債（"tech debt"）。遲早要還，而且越往後利息越多、代價越大。