引子

總有人想從你身上得到一些東西。他們想得到你的名字、你的電話、你的住址、你的車牌、你的房產(chǎn)、你的社保號碼、你的愛好、你的消費(fèi)記錄、你的GPS定位、你的戶籍信息、你的開房記錄、你的家人信息、你的所有歷史和你之所以成為你的全部密碼。

但是，他們想要了解你的一切，并不是出于好奇。你在他們眼中，只是一個(gè)符號。一個(gè)堆積起來可以換錢的冰冷籌碼。這些黑客們利用各種網(wǎng)站和系統(tǒng)的漏洞，從各個(gè)平臺竊取用戶的信息，并且高價(jià)賣給詐騙分子和網(wǎng)絡(luò)大盜。

正如小說中白衣如雪，來去如風(fēng)的俠客一般，在我們身邊同樣存在一群這樣熱血涌動(dòng)的人，他們不忍心看到這個(gè)世界沉淪，他們就是“白帽子”。

這些白帽子也許激情四射，也許木訥寡言，他們就像你我身邊那些普通的朋友，經(jīng)歷著普通人的悲歡離合。只不過，在網(wǎng)絡(luò)世界里，他們像補(bǔ)天的女媧一樣，用一顆顆五彩石修復(fù)一座座賽博大廈的裂隙。

他們普通又神秘，他們低調(diào)又熱血。

漏洞平臺，正是白帽子聚集的戰(zhàn)場。他們在這里向企業(yè)提交漏洞，守衛(wèi)互聯(lián)網(wǎng)的安全。這次硬創(chuàng)公開課，雷鋒網(wǎng)宅客頻道請到了補(bǔ)天漏洞平臺掌門人白健、補(bǔ)天平臺首席美女運(yùn)營小花還有360企業(yè)安全市場部美女徐粲然，他們在一場顏值爆表的直播中為我們還原了真實(shí)的補(bǔ)天白帽子。

【小花、白健、徐粲然】

以下是直播文字要點(diǎn)整理：

我們?yōu)槭裁葱枰酌弊樱?/h2>

白?。浩鋵?shí)在我看來在目前整個(gè)體系建設(shè)不是特別健全的情況下，我們個(gè)人的信息安全、企業(yè)的信息安全甚至到國家的信息安全都會受到一些危害。我不知道大家有沒有關(guān)注2016年徐玉玉的案件。

徐玉玉的案件其實(shí)就是犯罪嫌疑人杜天禹利用某一個(gè)招生網(wǎng)站的漏洞拿到了一批高考學(xué)生的信息，然后又把信息賣給了另外一個(gè)犯罪嫌疑人陳文輝，陳文輝雇人假裝教育局的一些工作人員騙取了瞿玉僅有的9900塊錢學(xué)費(fèi)和生活費(fèi)，最后導(dǎo)致瞿玉這位同學(xué)傷心過度最后不幸去世了。

這件事情受到廣大網(wǎng)友的廣泛關(guān)注，案件很快偵破，整個(gè)事情也公布給全社會。通過這件事情我們可以切身感受到，在網(wǎng)絡(luò)安全方面對個(gè)人信息安全的危害已經(jīng)到了一個(gè)非常嚴(yán)重的地步。

說到企業(yè)安全上，美國的第二大保險(xiǎn)公司 Allstate，它的三千萬的保民信息以及他的員工信息全部被人扒走，其實(shí)我覺得這不光是影響這家企業(yè)，影響到他的保民，甚至影響到美國對國家的一些公民信息，這種危害是非常嚴(yán)重的。

360 企業(yè)安全集團(tuán)董事長齊向東曾重述了習(xí)主席的觀點(diǎn)：網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全也得靠人民。那網(wǎng)絡(luò)安全靠哪些人民呢？其實(shí)這個(gè)人民中就有一個(gè)特殊的群體我們俗稱白帽子，他們有機(jī)會有能力幫助大家來解決安全問題。

小花做補(bǔ)天的運(yùn)營，她就跟白帽子這個(gè)群體關(guān)系非常好。所以接下來由你來介紹一下白帽子的情況。

白帽子是什么樣子的？

小花：齊總給白帽子搖旗吶喊的講話在我的朋友圈已經(jīng)被刷屏了，我特別為我的白帽子朋友們感到很有成就感。因?yàn)樗麄冊谧鲆患x的事情，現(xiàn)在補(bǔ)天已經(jīng)有 31154 名白帽子了，這個(gè)量是非常大的，他們已經(jīng)維護(hù)了四千多家廠商的信息以及網(wǎng)絡(luò)安全。

在補(bǔ)天有我三位關(guān)系特別好，我對他們也很了解的白帽子。總有很多圈外的朋友都在問我，“小花，什么是白帽子?。俊蔽矣X得我有必要說一下我這3位朋友神奇的故事。

其中一位叫華不再揚(yáng)，他在深圳工作。當(dāng)時(shí)《安在》發(fā)表了一篇有關(guān)華不再揚(yáng)的報(bào)道，名字叫做《從鞋廠工人到漏洞達(dá)人，90后游戲少年的逆襲》。他是一個(gè)特別靦腆的男孩，在我第一次見他的時(shí)候。但是，他給我們白帽子開講座講的議題特別的干，很多白帽子都在做筆記。后來跟隨著他的一些采訪，我發(fā)現(xiàn)他竟然是從小打游戲的人。

他和他女朋友是大概網(wǎng)戀了5年，然后線下見面之后慢慢確立關(guān)系直到結(jié)婚，現(xiàn)在已經(jīng)有了寶寶。

第二位叫做衰大。衰大是我在補(bǔ)天白帽子里面比較欣賞的一類了，不是因?yàn)樗念佒?，而是因?yàn)樗芗澥俊?/p>

我為什么對他有這么大的印象呢？是在去年4月9號，360 眾測發(fā)布會的時(shí)候，所有白帽子都背著一個(gè)雙肩包來，只有帥大一個(gè)人拎著一個(gè)行李廂，當(dāng)時(shí)我還特別嫌棄，我說為什么只有兩天你還拎一個(gè)大箱子過來呢？他打開里面，都是給我們帶的新疆的切糕。那會兒新疆切糕非常貴的。他帶著一箱子的切糕還有大棗，還有葡萄干，把我們感動(dòng)壞了。我覺得這個(gè)人好有心，后來一接觸才發(fā)現(xiàn)他確實(shí)挺暖的。

還有一位白帽子 hckmaple，雷鋒網(wǎng)《宅客頻道》對他做過專訪，前幾天很多人都在轉(zhuǎn)載他的故事。據(jù)我所知這個(gè)帖子發(fā)出去之后有很多男生問他聯(lián)系方式的。

他是一個(gè)跨專業(yè)的人才。他的專業(yè)是硬件，但是他就選了做一個(gè)白帽子。他的故事特別熱血，有一段時(shí)間我找他聯(lián)系，希望他給我們錄制一個(gè)課程。他說他在醫(yī)院，我就特別好奇，看著特別強(qiáng)壯的一個(gè)人怎么能去醫(yī)院呢？原來他是患了中耳炎復(fù)發(fā)然后去醫(yī)院診治，但是即使在那個(gè)時(shí)候，他的排名仍舊是補(bǔ)天的第二。

什么樣的人能成為白帽子？

白?。篽ckmaple 是我們平臺上少有的科班出身的白帽子。其實(shí)我們白帽子同學(xué)很多人都很單純也很優(yōu)秀，但是有點(diǎn)遺憾的是很多同學(xué)的學(xué)習(xí)不是特別好，我覺得可能是我們的培養(yǎng)體制上不是特別的完善，很難兼容這部分人。所以我在這里呼吁我們的教育體系能給白帽子更多的機(jī)會，這樣你才能不拘一格。另外，我們的企業(yè)在招聘的時(shí)候也不要把標(biāo)準(zhǔn)定的太高。

我昨天還看著朋友圈，有一個(gè)企業(yè)在招白帽子，限制的是一定要985、211的畢業(yè)生。這要求很高，我們白帽子沒有幾個(gè)能達(dá)到這個(gè)水平的，其實(shí)他們能力是很強(qiáng)的，所以我覺得一方面是我們的教育體系可能要對這部分人多一些，作為一個(gè)兼容性，有更多機(jī)會。另外，我也呼吁我們的企業(yè)在目前的環(huán)境下可以給白帽子更多的更寬松的一個(gè)工作環(huán)境。

和白帽子在一起時(shí)間久了，我確實(shí)切身地感受到大家都非常單純，也非常的具有正能量，也很有抱負(fù)。所以其實(shí)可以說每一個(gè)白帽子背后都是一段屌絲逆襲的故事，特別特別有趣。每一個(gè)白帽子也都希望自己從一個(gè)小人物成長為安全大人物，都有自己的夢想之路。我們做補(bǔ)天平臺這個(gè)事兒也是希望給大家創(chuàng)造這么一個(gè)環(huán)境和機(jī)會，實(shí)現(xiàn)夢想。

白帽子可以獲得什么獎(jiǎng)勵(lì)？

白?。?span style="line-height: 1.8;">對于白帽子來說，給企業(yè)提交漏洞有兩方面的收獲：

第一，安全能力得到體現(xiàn)和尊重。很多企業(yè)客戶對白帽子交上來的漏洞都表示非常感謝，甚至還有一個(gè)客戶很典型，他請了一個(gè)白帽子在上海一起吃了一頓。當(dāng)然，有時(shí)候這種感謝白帽子是不敢接受的，以為是廠商要找他們麻煩。但其實(shí)我覺得特別多的企業(yè)已經(jīng)認(rèn)可白帽子的安全能力，也非常尊重他們。

第二，平臺也給白帽子提供了很豐厚的價(jià)值。物質(zhì)，或者直白一點(diǎn)說就是金錢的回報(bào)也非常重要。補(bǔ)天平臺的獎(jiǎng)金一直以來也是節(jié)節(jié)攀升，我們資深的白帽子在我們這兒也拿到了好幾十萬。

除了白帽子突出他的價(jià)值，得到我們獎(jiǎng)金的回報(bào)以外，我們平臺也給白帽子提供了很多的法律相關(guān)方面的知識，讓大家及時(shí)去提醒，哪些事情是符合我們的法律法規(guī)，哪些可能不太好的，這也是很重要的。

我們不能一味地單純地講究技術(shù)，還得看目前的社會法律這塊。我們需要用正確的價(jià)值觀和方法來幫助企業(yè)，幫助國家，來解決網(wǎng)絡(luò)安全問題。

我們對大部分的企業(yè)服務(wù)都是免費(fèi)的，補(bǔ)天平臺承擔(dān)一些運(yùn)營經(jīng)費(fèi)，幫企業(yè)免費(fèi)提供漏洞。可能還有少量的企業(yè)需要更高端的一些服務(wù)，所以會收一些增值的費(fèi)用來補(bǔ)貼補(bǔ)天的運(yùn)營，但是補(bǔ)天的平臺我們是不追求盈利的。公司也不要求我們賺錢，只是希望我們把這個(gè)公益的事情做的更長久些。另外一方面，其實(shí)我們也努力找更多的行業(yè)界的同仁我們一起來辦一個(gè)開放，大家互相合作的平臺。白帽子的群體是可愛的一群年輕人。我們想把他們引導(dǎo)好、組織好，一起為網(wǎng)絡(luò)安全、企業(yè)安全、國家安全做點(diǎn)事兒。

入駐補(bǔ)天的標(biāo)準(zhǔn)

白?。鹤鳛槠髽I(yè)，只要免費(fèi)在我們網(wǎng)站注冊一下，我們認(rèn)證了網(wǎng)站所有者的身份就可以。你會發(fā)現(xiàn)如果網(wǎng)站有漏洞補(bǔ)天是免費(fèi)推送的，這是一個(gè)最基礎(chǔ)的服務(wù)。如果大家想通過白帽子主動(dòng)收集更多的漏洞，就需要承擔(dān)一些白帽子的獎(jiǎng)金和稅費(fèi)，我們平臺不會額外收取其它費(fèi)用。

在平臺的信息安全方面，因?yàn)槲覀兪?360 旗下的一個(gè)品牌，所以在安全防護(hù)上和 360 的要求是一致的。另外，我們做安全時(shí)的假設(shè)前提就是認(rèn)為存在信息泄露的風(fēng)險(xiǎn)，所以我們在管理上面額外做了很多的要求。

首先，我們招聘員工時(shí)有很嚴(yán)格的要求，背景調(diào)查和工作領(lǐng)域等等。

其次，我們網(wǎng)站的后臺只有在我們的內(nèi)網(wǎng)才能訪問的。

再次，我們員工的電腦全部裝了終端管控軟件，并且全流量鏡像和分析網(wǎng)絡(luò)流量。這樣就能有效地防止員工出現(xiàn)失誤導(dǎo)致信息泄露這種事情的發(fā)生。

另外，我們的漏洞審核也是分為幾層進(jìn)行。一線員工審核完成之后，還有上級的復(fù)核，避免審核的差錯(cuò)，例如漏洞分類、評級的差錯(cuò)等等。

同時(shí)，我們還積極接受白帽子的追訴或者企業(yè)對漏洞再進(jìn)行進(jìn)一步的確認(rèn)，多維度交叉核實(shí)。

RSA 上最新的安全趨勢

白健：在 RSA 安全大會上我和其他平臺的同行做了一些交流。我總結(jié)了以下幾個(gè)收獲：

第一，我們得有自信。我們的漏洞平臺，我們的白帽子群體不比西方國家運(yùn)營能力差。

第二，我們還是要加強(qiáng)一些國際的合作，比如對一些通用型的漏洞我們可以建立一些通報(bào)機(jī)制來做一些修復(fù)。另外對于測試，我們也可以導(dǎo)入一些國際力量來做。同時(shí)我們也努力給核心的白帽子創(chuàng)造一些跟西方國家白帽子切磋交流的環(huán)境。比如 BlackHat 等會議，我們會組團(tuán)和西方的隊(duì)伍進(jìn)行演練。

第三，RSA今天的主題是“Power of OpportUNITY”，字面意思應(yīng)該是機(jī)會的力量，但是它最后的“UNITY”是大寫的，也就是說這次會議想強(qiáng)調(diào)聯(lián)合。所以這也是我們這次去參會的一個(gè)原因，我們也希望聯(lián)合各方面，聯(lián)合國內(nèi)同仁，聯(lián)合我們整個(gè)群體，甚至聯(lián)合國際一些國際的網(wǎng)絡(luò)群眾體。

現(xiàn)在整個(gè)網(wǎng)絡(luò)安全，我覺得國與國的邊界越來越模糊。根據(jù)我們 360 在 2016 年的網(wǎng)絡(luò)安全的報(bào)告來看，2016 年中國網(wǎng)站遭受的攻擊中，百分之二十幾的比例是來自境外。另外，我們防護(hù)的網(wǎng)站中有30% 的境外網(wǎng)站也受到攻擊。所以這種邊界是越來越模糊的。

而且我們還同時(shí)看到，有一些不法分子利用自己的掌握的一些能力和技術(shù)潛藏在國外，反過來滲透我們的網(wǎng)站，做一些數(shù)據(jù)竊取、植入后門、敲詐勒索這樣一系列的事情。所以我們希望聯(lián)合國內(nèi)外的所有力量一起來維護(hù)網(wǎng)絡(luò)安全問題。這是我自己這次 RSA 的一些收獲。

徐粲然：說到合作，為了和全球白帽、技術(shù)精英一起交流，補(bǔ)天平臺會在2017年3月30日在深圳舉辦首屆補(bǔ)天白帽大會。我們會邀請國內(nèi)外知名白帽、技術(shù)精英、安全愛好者，與網(wǎng)絡(luò)安全相關(guān)主管機(jī)構(gòu)和知名企業(yè)和機(jī)構(gòu)的CISO一起參與，解讀當(dāng)前網(wǎng)絡(luò)安全形勢和安全威脅，探討漏洞響應(yīng)與防范方案，同時(shí)分享交流漏洞挖掘與安全功防等沿議題，到時(shí)候也歡迎大家來玩。

本期公開課完整視頻請戳這里

本文由雷鋒網(wǎng)宅客頻道獨(dú)家首發(fā)（微信搜索：宅客頻道）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。