9月17日，面向全球白帽和技術(shù)精英的全球性安全行業(yè)大會(huì)——2021補(bǔ)天白帽大會(huì)在北京舉行。作為《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（以下簡(jiǎn)稱“規(guī)定”）正式實(shí)施后的第一個(gè)白帽行業(yè)盛會(huì)，來(lái)自監(jiān)管機(jī)構(gòu)、安全團(tuán)隊(duì)、研究機(jī)構(gòu)的嘉賓和頂級(jí)白帽近千人匯聚一堂。

工業(yè)和信息化部網(wǎng)絡(luò)安全管理局副處長(zhǎng)肖俊芳，中國(guó)信息通信研究院安全研究所副所長(zhǎng)覃慶玲，中國(guó)信息通信研究院安全研究所網(wǎng)絡(luò)安全響應(yīng)中心主任卜哲，北京賽博昆侖科技有限公司創(chuàng)始人兼CEO MJ，華為云首席安全生態(tài)官萬(wàn)濤，字節(jié)跳動(dòng)安全中心負(fù)責(zé)人林偉，騰訊安全天馬實(shí)驗(yàn)室負(fù)責(zé)人、騰訊安全學(xué)院副院長(zhǎng)楊卿，螞蟻安全對(duì)抗技術(shù)部負(fù)責(zé)人曲和，資深網(wǎng)絡(luò)安全專家、實(shí)戰(zhàn)攻防團(tuán)隊(duì)藍(lán)軍負(fù)責(zé)人葉猛，奇安信集團(tuán)董事長(zhǎng)齊向東，奇安信集團(tuán)副總裁、補(bǔ)天漏洞響應(yīng)平臺(tái)負(fù)責(zé)人張卓等嘉賓應(yīng)邀出席。十余家企業(yè)SRC、近百個(gè)國(guó)內(nèi)外優(yōu)秀的安全實(shí)驗(yàn)室及安全團(tuán)隊(duì)也參與了本次大會(huì)。

漏洞管理規(guī)定正式施行 白帽群體有了行為“準(zhǔn)繩”

網(wǎng)絡(luò)安全產(chǎn)業(yè)已發(fā)展進(jìn)入快車道，白帽人才也成為維護(hù)網(wǎng)絡(luò)安全行業(yè)的重要支撐力量。工信部網(wǎng)安局副處長(zhǎng)肖俊芳在致辭中表示，工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)自9月1日上線以來(lái)，已收到來(lái)自電信網(wǎng)、互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等各領(lǐng)域安全漏洞近9萬(wàn)個(gè)，其中以補(bǔ)天平臺(tái)為代表的第三方漏洞平臺(tái)的大力支撐和對(duì)白帽群體的積極引導(dǎo)起到了重要作用。

奇安信集團(tuán)董事長(zhǎng)齊向東則在致辭時(shí)提出，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)品提供商、白帽群體、漏洞平臺(tái)三個(gè)方面起到激勵(lì)作用。其中，漏洞管理規(guī)定將白帽的行為正當(dāng)化、合法化，給白帽子提供了安全感。

齊向東指出，一方面，《規(guī)定》明確鼓勵(lì)民間力量進(jìn)行漏洞挖掘工作，給漏洞的發(fā)現(xiàn)、收集、發(fā)布等行為劃定了紅線，引導(dǎo)白帽子在合法合規(guī)的條件下發(fā)揮價(jià)值；另一方面，《規(guī)定》也鼓勵(lì)廠家針對(duì)白帽子設(shè)立漏洞獎(jiǎng)勵(lì)機(jī)制，白帽子亦可通過(guò)自己的一技之長(zhǎng)獲得相應(yīng)的回報(bào)，從而形成良性循環(huán)，推動(dòng)安全產(chǎn)業(yè)不斷壯大。2021年，就有企業(yè)SRC通過(guò)補(bǔ)天平臺(tái)向白帽子支付了高達(dá)13萬(wàn)元的單個(gè)漏洞獎(jiǎng)金。

而對(duì)于漏洞平臺(tái)來(lái)說(shuō)，漏洞管理規(guī)定的實(shí)施，也為漏洞響應(yīng)平臺(tái)提供了健康的成長(zhǎng)方向。下一步，補(bǔ)天將繼續(xù)優(yōu)化提升平臺(tái)能力，對(duì)民間白帽進(jìn)行正向引導(dǎo)，幫助廠商建設(shè)和運(yùn)營(yíng)符合要求的產(chǎn)品漏洞收集平臺(tái)，守住漏洞這條重要的安全防線。

《2021白帽人才報(bào)告》發(fā)布 網(wǎng)絡(luò)安全進(jìn)入00后時(shí)代

在國(guó)內(nèi)良好的政策環(huán)境和產(chǎn)業(yè)環(huán)境推動(dòng)之下，我國(guó)白帽人才的總體能力建設(shè)持續(xù)提升。補(bǔ)天白帽大會(huì)上，奇安信集團(tuán)副總裁張卓發(fā)布的《中國(guó)白帽人才能力與發(fā)展?fàn)顩r調(diào)研報(bào)告》也從多方面證實(shí)了我國(guó)白帽人才的特點(diǎn)：勤學(xué)刻苦的漏洞“挖掘機(jī)”，堅(jiān)持“為愛(ài)發(fā)電”，且00后已成主力軍。

報(bào)告顯示，約有38.8%的白帽人才，每年人均提交有效安全漏洞數(shù)量超過(guò)10個(gè)；更有約4.7%的白帽人才每年人均提交有效漏洞數(shù)量超過(guò)300個(gè)，堪稱漏洞界的“超級(jí)挖掘機(jī)”。

值得注意的是，這些漏洞“挖掘機(jī)”的年齡呈年輕化，00后已經(jīng)成為國(guó)內(nèi)白帽人才的主力軍，占比高達(dá)38.4%，95后的占比為34.6%，甚至已有少量10后年輕人加入了白帽子的隊(duì)伍，網(wǎng)絡(luò)安全已開(kāi)始進(jìn)入00后時(shí)代，未來(lái)可期。本次補(bǔ)天年度白帽子頒獎(jiǎng)中，也為這群年輕群體頒發(fā)了“補(bǔ)天最具朝氣白帽獎(jiǎng)”，為項(xiàng)目申請(qǐng)率、項(xiàng)目通過(guò)率、項(xiàng)目有效率遙遙領(lǐng)先的白帽少年頒發(fā)榮譽(yù)。

這些勤學(xué)刻苦的白帽人才在自學(xué)上投入了大量的時(shí)間成本，在接受調(diào)查的白帽子中，每周自學(xué)黑客技術(shù)的人均時(shí)間超過(guò)15.0個(gè)小時(shí)，其中，有14.1%的白帽子每周自學(xué)時(shí)間達(dá)20-50小時(shí)，堪稱“白帽學(xué)霸”；更有8.0%的“白帽學(xué)神”每周自學(xué)黑客技術(shù)時(shí)間超過(guò)50小時(shí)，日均自學(xué)時(shí)間超過(guò)7個(gè)小時(shí)。

但最讓人敬佩的是，對(duì)于挖掘并提交如此多漏洞且勤學(xué)刻苦的白帽群體來(lái)說(shuō)，“個(gè)人愛(ài)好”是其最主要的驅(qū)動(dòng)力，有超過(guò)64%的受訪者認(rèn)為這是首要原因。強(qiáng)大的自我認(rèn)同感或許也是白帽子“為愛(ài)發(fā)電”的原因之一，有近8成的白帽子認(rèn)為白帽工作非常酷或有點(diǎn)兒酷。

首屆補(bǔ)天繁星獎(jiǎng)?lì)C獎(jiǎng)

補(bǔ)天漏洞響應(yīng)平臺(tái)作為企業(yè)和白帽子之間的橋梁和紐帶，已擁有長(zhǎng)達(dá)8年的豐富漏洞平臺(tái)運(yùn)營(yíng)經(jīng)驗(yàn)，已有注冊(cè)白帽8.7萬(wàn)人，報(bào)告漏洞總數(shù)超67萬(wàn)，入駐企業(yè)數(shù)量超過(guò)6000家。

今年的補(bǔ)天白帽大會(huì)，首次針對(duì)白帽人才及安全應(yīng)急響應(yīng)中心推出了“補(bǔ)天繁星獎(jiǎng)”年度評(píng)選活動(dòng)，旨在評(píng)選出行業(yè)內(nèi)“最受歡迎的白帽團(tuán)隊(duì)”與“最受歡迎的安全應(yīng)急響應(yīng)中心”，共同為網(wǎng)絡(luò)安全人員加油鼓氣，推動(dòng)行業(yè)健康發(fā)展，打造良好的安全生態(tài)。

經(jīng)過(guò)材料審核、大眾評(píng)審、專業(yè)評(píng)審、特邀白帽評(píng)審等環(huán)節(jié)，騰訊安全應(yīng)急響應(yīng)中心、百度安全應(yīng)急響應(yīng)中心、京東安全應(yīng)急響應(yīng)中心、螞蟻安全響應(yīng)中心、陌陌安全應(yīng)急響應(yīng)中心、涂鴉安全響應(yīng)中心、字節(jié)跳動(dòng)安全中心、OPPO安全應(yīng)急響應(yīng)中心8個(gè)企業(yè)SRC獲得“最受歡迎應(yīng)急響應(yīng)中心”獎(jiǎng)項(xiàng)，零組攻防實(shí)驗(yàn)室、ChaMd5安全團(tuán)隊(duì)、r3kapig、The loner、Timeline Sec、Nu1L Team、白帽一百安全攻防實(shí)驗(yàn)室、WhITECat安全團(tuán)隊(duì)獲得“最受歡迎安全團(tuán)隊(duì)”。

與此同時(shí)，最具價(jià)值白帽獎(jiǎng)、最具貢獻(xiàn)白帽獎(jiǎng)、最具公益能量獎(jiǎng)、最具潛力白帽獎(jiǎng)也在大會(huì)上公布，十余位在補(bǔ)天平臺(tái)表現(xiàn)突出的白帽人才獲得榮譽(yù)，充分體現(xiàn)了民間安全從業(yè)者的蓬勃活力。

技術(shù)、政策雙向深度交流

《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》的正式實(shí)施，明確了各類主體的責(zé)任和義務(wù)，對(duì)相關(guān)網(wǎng)絡(luò)從業(yè)者均產(chǎn)生巨大影響。為推動(dòng)各方主體更好理解規(guī)定，推進(jìn)漏洞管理有序開(kāi)展，本次大會(huì)特舉辦網(wǎng)絡(luò)產(chǎn)品安全漏洞管理與實(shí)踐閉門論壇。

中國(guó)信息通信研究院安全研究所網(wǎng)絡(luò)安全響應(yīng)中心主任卜哲對(duì)網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)進(jìn)行了詳細(xì)介紹，并和與會(huì)企業(yè)一起，圍繞網(wǎng)絡(luò)產(chǎn)品漏洞管理規(guī)定展開(kāi)研討。

為幫助更多企業(yè)建立專屬的安全應(yīng)急響應(yīng)中心，依照規(guī)定開(kāi)展漏洞管理工作，奇安信首次推出了“補(bǔ)天全棧式SRC服務(wù)”，通過(guò)持續(xù)監(jiān)測(cè)和漏洞發(fā)現(xiàn)、端到端服務(wù)、個(gè)性化門戶、漏洞信息報(bào)告、線上線下聯(lián)合運(yùn)營(yíng)推廣四大服務(wù)為企業(yè)提供安全可控、全棧管理的保姆式安全服務(wù)。

與此同時(shí)，各位安全專家?guī)?lái)的技術(shù)分享也是活動(dòng)最具干貨的重磅環(huán)節(jié)。來(lái)自昆侖實(shí)驗(yàn)室、騰訊安全天馬實(shí)驗(yàn)室、R3kapig團(tuán)隊(duì)、騰訊藍(lán)軍、DeadEye安全試驗(yàn)研究室、阿斯巴甜攻防實(shí)驗(yàn)室、奇安信技術(shù)研究院天工實(shí)驗(yàn)室、奇安信代碼安全實(shí)驗(yàn)室等頂尖安全實(shí)驗(yàn)室及團(tuán)隊(duì)的安全專家、安全研究員圍繞衛(wèi)星通信網(wǎng)絡(luò)、虛擬貨幣等前沿技術(shù)趨勢(shì)，云原生容器集群、供應(yīng)鏈、智能汽車、反詐等多維度實(shí)戰(zhàn)技巧，進(jìn)行了精彩分享。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。