最近一起数据泄露事件忽然在网络上出圈，被很多人转发，同一个群不断有人转发相同的信息进来，说明这个群大家平时基本不看，但遇事不知道找谁分享的时候都会想起，对于群的组织者来说，不知是喜还是忧。

虽说事件出圈，但和搞信息安全的小伙伴们讨论起来，大家都只是一副「哦」的表情。一方面是因为见得太多而麻木了，另一方面是与数据泄露相比，大家更关心漏洞，为什么会这样呢？

人类喜欢用东南西北来代表政治分野，例如用「南和北」代表了发达国家与欠发达国家。才会有「南南合作」、「南北对话」这样的称呼。北边是发达、正统、严肃的，是丘吉尔与罗斯福的旧大陆；南边是落后、自由、乱七八糟的，是卡斯特罗和切格瓦拉的加勒比海。

而信息安全领域，也有这么一个分界方法。北代表了规范与正统，而南代表了自由与奔放。进而还进化出了「北极点」、「北极圈」、「北回归线」与「赤道」，当然对应南部也有「南极点」、「南极圈」等等。

如果要给一个概括定义的话，「北半球」，应该是在政府主导下，以合规为主要驱动方式的信息安全。而「南半球」，是民间黑客为主，以攻防为主要驱动方式的信息安全。说到这里可能大家已经有了直观感觉。

「南北极点」几乎从不见面，并且思维方式极端，「北极点」可以说不关心任何技术，他们颁布法律，执法手段是军队与警察等暴力机构，而「南极点」则干脆就是黑产，只不过他们不是在暗网上贩卖奴隶和毒品，而是用技术手段获得系统漏洞与数据并出售。

世界上主流的信息安全控制方式，其实是偏北的，大家可以感受的到，各种《信息安全法》和「等级保护」、「ISOxxxxx」自不必说，连抓黑客的手段更多的都是技术辅助的刑侦手段，这里面除了网络上寻觅线索，通过个人信息跟踪、视频监控数据等等，跟抓强奸犯并无二致。

但是始终有一些人相信，南半球的价值观才真正有利于世界的进步，他们信奉罗宾汉拯救世界，他们黑进一个一个网站只为了告诉对方你的系统很脆弱，他们行侠仗义欺负坏人 —— 等等，对不起，这种古典主义黑客只停留在我们的美好想象中。

最后一波这样有一点情怀的人，随着「乌云」的倒掉而四散了，他们或彻底沦为黑灰产，或被体制招安活跃在赤道两侧，也有人进了大厂成为厂内南半球 —— 大公司如同一个国家，内部有北向的合规与内审部门，也有南向的安全攻防部门，他们仍然能够发挥余热，忘记当年快意恩仇拿下一个个网站的兴奋，每日忙着填写 OKR、给下属打分或被上级打分，期盼着 3.75 的绩效，头上添了白发。就好像我认识的一位朋友。

十年前我们的创业团队正做着细分领域第一的产品，他在乌云上给我们来了一个内网漫游 —— 内网漫游的意思是他黑进来，截了很多图以表示他进来了，然后发了个帖子。

其实他进来的方法十分简单，我们的一位马虎程序员把一段运维脚本上传到了 Github，里面有写死的服务器访问密码 —— 人类似乎从来不从过去吸取任何教训，直到今天，这种泄露方法仍然是最主流的，以至于扫描 Github 是否会出现自家密码，几乎成为了各软件企业内安全团队的一个标准动作。后来这位马虎程序员财务自由了，去年还来投资我们的公司，这就是后话了。

「乌云」是当时国内非常有影响力的一个网站，主要用于这些黑客们显摆自己黑了谁，乌云的创始人也是我的一位前同事，他苦于做安全找漏洞却不被公司重视，便想出这么个办法，确实推动了行业的进步，但他自己后来也付出了难以想象的代价，这也是后话了。

这些攻入网站并行侠仗义的人，有了新的名字：白帽子。意思是我免费帮你们找漏洞，我并不会做坏事，秋毫无犯不拿老百姓一针一线，只是贴一下为了增加我的行业影响力，咱们双赢。但企业不这么想，企业颜面扫地。更不要提有一些白帽子其实还是拿了点数据的，毕竟不拿白不拿。

因此「乌云」这个网站，在广大企业眼里，情绪很复杂。一旦被挂了以后仿佛被当众拍了裸照，虽然关键部位打了码，但毕竟也是裸照。可你还得配上笑脸，生怕对方一不高兴干点啥出格的事，毕竟人家手里有无码版。我当时发现这个帖子以后，就面临这个尴尬境地，而我采取的措施也十分原始 —— 我去上门堵他。

那时候白帽子的圈子还比较小，谁还没有几个熟人呢。最后我在广州找到了他，他很年轻，看面相可能也就 20 岁，讲话的谨慎却成熟过自己的脸，因为有共同的朋友，他可能也少了几分戒心，跟我聊他们白帽子团体的一些事。我才第一次听说很多顶级白帽子都是体制内单位里闲出屁的一帮人 —— 此处可以联想创作《三体》的刘慈欣。

当然我想招揽他，但他婉拒，似乎他更向往这种自由的生活 —— 多年以后，「乌云」倒掉之后，听说他去了某巨厂，拿到了很不错的 Offer，当然那还是后话了。

从所谓「成年人」的视角，信息安全一定是「北半球」的，有法律，有规范，有标准，有 SOP，一步一步按部就班，最终执行的人，不必有太多的专业经验，就可以将一个系统部署为铁桶一般，事实上从国家到企业，大多数也是这么做的。这是一个站在前人肩上的工作方法，也是人类之所以能活到现在的原因。我们不必从头学习所有知识，只要做好自己的一个环节，前面人类几千年的经验都能成为你的基石。

「北半球」的好处是，如果黑进一个系统的方法是已知的，那就绝对不会有人能黑进来。要知道，世界上大多数的坏人都是在搜索引擎上搜来的方法和工具，并且大水漫灌式的在网络上扫描弱密码或者已知漏洞。他们没有能力创造或发现新的系统漏洞，即使是这样，也可以攻破大多数的系统 —— 我们的信息系统与互联网就是这么脆弱。

但「北半球」的问题在于，如果黑进一个系统的方法是未知的，就容易不好使。这未知的就包括所谓 0-day 漏洞（意思是没有人知道的漏洞，至少软件厂商不知道，没有推出过补丁包），也包括各类复杂的非技术的攻击，例如 APT （Advanced Persistent Threat，高级持续攻击）。

APT 就是坏人盯上你了。给你装窃听器，假装快递员，你过生日女朋友买个游戏鼠标结果给掉了包，带个改装过的鼠标当生日礼物送给你，然后鼠标把你公司资料偷了什么的。这些问题，在专注于攻防的南半球眼里，可能是常见的方法，但用北半球的方法就很难杜绝 —— 毕竟规章制度没办法写这么细，说在公司不能用女朋友送的鼠标。当然这种攻击成本很高，一般都是针对高价值目标的，如果你莫名担心自己被 APT 盯上，可以先盘算一下自己值不值。此时就需要「南半球」的方法，去持续发现和挖掘新的攻击方式，做到比坏人更快。

如果要给本文一个和事佬式的结尾，那就是南北都不可或缺。而此时你再调头去看这个数据泄露事件，是不是也能自己得出一些结论了？