9月17日,面向全球白帽和技术精英的全球性安全行业大会——2021补天白帽大会在北京举行。作为《网络产品安全漏洞管理规定》(以下简称“规定”)正式实施后的第一个白帽行业盛会,来自监管机构、安全团队、研究机构的嘉宾和顶级白帽近千人汇聚一堂。
工业和信息化部网络安全管理局副处长肖俊芳,中国信息通信研究院安全研究所副所长覃庆玲,中国信息通信研究院安全研究所网络安全响应中心主任卜哲,北京赛博昆仑科技有限公司创始人兼CEO MJ,华为云首席安全生态官万涛,字节跳动安全中心负责人林伟,腾讯安全天马实验室负责人、腾讯安全学院副院长杨卿,蚂蚁安全对抗技术部负责人曲和,资深网络安全专家、实战攻防团队蓝军负责人叶猛,奇安信集团董事长齐向东,奇安信集团副总裁、补天漏洞响应平台负责人张卓等嘉宾应邀出席。十余家企业SRC、近百个国内外优秀的安全实验室及安全团队也参与了本次大会。
漏洞管理规定正式施行 白帽群体有了行为“准绳”
网络安全产业已发展进入快车道,白帽人才也成为维护网络安全行业的重要支撑力量。工信部网安局副处长肖俊芳在致辞中表示,工信部网络安全威胁和漏洞信息共享平台自9月1日上线以来,已收到来自电信网、互联网、车联网等各领域安全漏洞近9万个,其中以补天平台为代表的第三方漏洞平台的大力支撑和对白帽群体的积极引导起到了重要作用。
奇安信集团董事长齐向东则在致辞时提出,《网络产品安全漏洞管理规定》会对网络产品提供商、白帽群体、漏洞平台三个方面起到激励作用。其中,漏洞管理规定将白帽的行为正当化、合法化,给白帽子提供了安全感。
齐向东指出,一方面,《规定》明确鼓励民间力量进行漏洞挖掘工作,给漏洞的发现、收集、发布等行为划定了红线,引导白帽子在合法合规的条件下发挥价值;另一方面,《规定》也鼓励厂家针对白帽子设立漏洞奖励机制,白帽子亦可通过自己的一技之长获得相应的回报,从而形成良性循环,推动安全产业不断壮大。2021年,就有企业SRC通过补天平台向白帽子支付了高达13万元的单个漏洞奖金。
而对于漏洞平台来说,漏洞管理规定的实施,也为漏洞响应平台提供了健康的成长方向。下一步,补天将继续优化提升平台能力,对民间白帽进行正向引导,帮助厂商建设和运营符合要求的产品漏洞收集平台,守住漏洞这条重要的安全防线。
《2021白帽人才报告》发布 网络安全进入00后时代
在国内良好的政策环境和产业环境推动之下,我国白帽人才的总体能力建设持续提升。补天白帽大会上,奇安信集团副总裁张卓发布的《中国白帽人才能力与发展状况调研报告》也从多方面证实了我国白帽人才的特点:勤学刻苦的漏洞“挖掘机”,坚持“为爱发电”,且00后已成主力军。
报告显示,约有38.8%的白帽人才,每年人均提交有效安全漏洞数量超过10个;更有约4.7%的白帽人才每年人均提交有效漏洞数量超过300个,堪称漏洞界的“超级挖掘机”。
值得注意的是,这些漏洞“挖掘机”的年龄呈年轻化,00后已经成为国内白帽人才的主力军,占比高达38.4%,95后的占比为34.6%,甚至已有少量10后年轻人加入了白帽子的队伍,网络安全已开始进入00后时代,未来可期。本次补天年度白帽子颁奖中,也为这群年轻群体颁发了“补天最具朝气白帽奖”,为项目申请率、项目通过率、项目有效率遥遥领先的白帽少年颁发荣誉。
这些勤学刻苦的白帽人才在自学上投入了大量的时间成本,在接受调查的白帽子中,每周自学黑客技术的人均时间超过15.0个小时,其中,有14.1%的白帽子每周自学时间达20-50小时,堪称“白帽学霸”;更有8.0%的“白帽学神”每周自学黑客技术时间超过50小时,日均自学时间超过7个小时。
但最让人敬佩的是,对于挖掘并提交如此多漏洞且勤学刻苦的白帽群体来说,“个人爱好”是其最主要的驱动力,有超过64%的受访者认为这是首要原因。强大的自我认同感或许也是白帽子“为爱发电”的原因之一,有近8成的白帽子认为白帽工作非常酷或有点儿酷。
首届补天繁星奖颁奖
补天漏洞响应平台作为企业和白帽子之间的桥梁和纽带,已拥有长达8年的丰富漏洞平台运营经验,已有注册白帽8.7万人,报告漏洞总数超67万,入驻企业数量超过6000家。
今年的补天白帽大会,首次针对白帽人才及安全应急响应中心推出了“补天繁星奖”年度评选活动,旨在评选出行业内“最受欢迎的白帽团队”与“最受欢迎的安全应急响应中心”,共同为网络安全人员加油鼓气,推动行业健康发展,打造良好的安全生态。
经过材料审核、大众评审、专业评审、特邀白帽评审等环节,腾讯安全应急响应中心、百度安全应急响应中心、京东安全应急响应中心、蚂蚁安全响应中心、陌陌安全应急响应中心、涂鸦安全响应中心、字节跳动安全中心、OPPO安全应急响应中心8个企业SRC获得“最受欢迎应急响应中心”奖项,零组攻防实验室、ChaMd5安全团队、r3kapig、The loner、Timeline Sec、Nu1L Team、白帽一百安全攻防实验室、WhITECat安全团队获得“最受欢迎安全团队”。
与此同时,最具价值白帽奖、最具贡献白帽奖、最具公益能量奖、最具潜力白帽奖也在大会上公布,十余位在补天平台表现突出的白帽人才获得荣誉,充分体现了民间安全从业者的蓬勃活力。
技术、政策双向深度交流
《网络产品安全漏洞管理规定》的正式实施,明确了各类主体的责任和义务,对相关网络从业者均产生巨大影响。为推动各方主体更好理解规定,推进漏洞管理有序开展,本次大会特举办网络产品安全漏洞管理与实践闭门论坛。
中国信息通信研究院安全研究所网络安全响应中心主任卜哲对网络安全威胁和漏洞信息共享平台进行了详细介绍,并和与会企业一起,围绕网络产品漏洞管理规定展开研讨。
为帮助更多企业建立专属的安全应急响应中心,依照规定开展漏洞管理工作,奇安信首次推出了“补天全栈式SRC服务”,通过持续监测和漏洞发现、端到端服务、个性化门户、漏洞信息报告、线上线下联合运营推广四大服务为企业提供安全可控、全栈管理的保姆式安全服务。
与此同时,各位安全专家带来的技术分享也是活动最具干货的重磅环节。来自昆仑实验室、腾讯安全天马实验室、R3kapig团队、腾讯蓝军、DeadEye安全试验研究室、阿斯巴甜攻防实验室、奇安信技术研究院天工实验室、奇安信代码安全实验室等顶尖安全实验室及团队的安全专家、安全研究员围绕卫星通信网络、虚拟货币等前沿技术趋势,云原生容器集群、供应链、智能汽车、反诈等多维度实战技巧,进行了精彩分享。