2021補天白帽大會在京召開
9月17日,面向全球白帽和技術精英的全球性安全行業大會——2021補天白帽大會在北京舉行。作為《網絡產品安全漏洞管理規定》(以下簡稱“規定”)正式實施后的第一個白帽行業大會,來自監管機構、安全團隊、研究機構的嘉賓和頂級白帽近千人匯聚一堂。
漏洞管理規定正式施行 白帽群體有了行為“準繩”
網絡安全產業已發展進入快車道,白帽人才也成為維護網絡安全行業的重要支撐力量。工信部網安局副處長肖俊芳在致辭中表示,工信部網絡安全威脅和漏洞信息共享平臺自9月1日上線以來,已收到來自電信網、互聯網、車聯網等各領域安全漏洞近9萬個,其中以補天平臺為代表的第三方漏洞平臺的大力支撐和對白帽群體的積極引導起到了重要作用。
奇安信集團董事長齊向東則在致辭時提出,《網絡產品安全漏洞管理規定》會對網絡產品提供商、白帽群體、漏洞平臺三個方面起到激勵作用。其中,漏洞管理規定將白帽的行為正當化、合法化,給白帽子提供了安全感。
齊向東指出,一方面,《規定》明確鼓勵民間力量進行漏洞挖掘工作,給漏洞的發現、收集、發布等行為劃定了紅線,引導白帽子在合法合規的條件下發揮價值;另一方面,《規定》也鼓勵廠家針對白帽子設立漏洞獎勵機制,白帽子亦可通過自己的一技之長獲得相應的回報,從而形成良性循環,推動安全產業不斷壯大。2021年,就有企業SRC通過補天平臺向白帽子支付了高達13萬元的單個漏洞獎金。
而對于漏洞平臺來說,漏洞管理規定的實施,也為漏洞響應平臺提供了健康的成長方向。下一步,補天將繼續優化提升平臺能力,對民間白帽進行正向引導,幫助廠商建設和運營符合要求的產品漏洞收集平臺,守住漏洞這條重要的安全防線。
《2021白帽人才報告》發布 網絡安全進入00后時代
在國內良好的政策環境和產業環境推動之下,我國白帽人才的總體能力建設持續提升。在本屆補天白帽大會上發布了《中國白帽人才能力與發展狀況調研報告》,報告數據從多方面證實了我國白帽人才的特點:勤學刻苦的漏洞“挖掘機”,堅持“為愛發電”,且00后已成主力軍。
報告顯示,約有38.8%的白帽人才,每年人均提交有效安全漏洞數量超過10個;更有約4.7%的白帽人才每年人均提交有效漏洞數量超過300個,堪稱漏洞界的“超級挖掘機”。
值得注意的是,這些漏洞“挖掘機”的年齡呈年輕化,00后已經成為國內白帽人才的主力軍,占比高達38.4%,95后的占比為34.6%,甚至已有少量10后年輕人加入了白帽子的隊伍,網絡安全已開始進入00后時代,未來可期。本次補天年度白帽子頒獎中,也為這群年輕群體頒發了“補天最具朝氣白帽獎”,為項目申請率、項目通過率、項目有效率遙遙領先的白帽少年頒發榮譽。
這些勤學刻苦的白帽人才在自學上投入了大量的時間成本,在接受調查的白帽子中,每周自學黑客技術的人均時間超過15.0個小時,其中,有14.1%的白帽子每周自學時間達20-50小時,堪稱“白帽學霸”;更有8.0%的“白帽學神”每周自學黑客技術時間超過50小時,日均自學時間超過7個小時。
但最讓人敬佩的是,對于挖掘并提交如此多漏洞且勤學刻苦的白帽群體來說,“個人愛好”是其最主要的驅動力,有超過64%的受訪者認為這是首要原因。強大的自我認同感或許也是白帽子“為愛發電”的原因之一,有近8成的白帽子認為白帽工作非常酷或有點兒酷。
在本屆補天白帽大會上,首次針對白帽人才及安全應急響應中心推出了“補天繁星獎”年度評選活動,旨在評選出行業內“最受歡迎的白帽團隊”與“最受歡迎的安全應急響應中心”,共同為網絡安全人員加油鼓氣,推動行業健康發展,打造良好的安全生態。經過材料審核、大眾評審、專業評審、特邀白帽評審等環節,騰訊安全應急響應中心、百度安全應急響應中心、京東安全應急響應中心、螞蟻安全響應中心、陌陌安全應急響應中心、涂鴉安全響應中心、字節跳動安全中心、OPPO安全應急響應中心8個企業SRC獲得“最受歡迎應急響應中心”獎項,零組攻防實驗室、ChaMd5安全團隊、r3kapig、The loner、Timeline Sec、Nu1L Team、白帽一百安全攻防實驗室、WhITECat安全團隊獲得“最受歡迎安全團隊”。
技術、政策雙向深度交流
《網絡產品安全漏洞管理規定》的正式實施,明確了各類主體的責任和義務,對相關網絡從業者均產生巨大影響。為推動各方主體更好理解規定,推進漏洞管理有序開展,本次大會特舉辦網絡產品安全漏洞管理與實踐閉門論壇。
中國信息通信研究院安全研究所網絡安全響應中心主任卜哲對網絡安全威脅和漏洞信息共享平臺進行了詳細介紹,并和與會企業一起,圍繞網絡產品漏洞管理規定展開研討。
為幫助更多企業建立專屬的安全應急響應中心,依照規定開展漏洞管理工作,奇安信首次推出了“補天全棧式SRC服務”,通過持續監測和漏洞發現、端到端服務、個性化門戶、漏洞信息報告、線上線下聯合運營推廣四大服務為企業提供安全可控、全棧管理的保姆式安全服務。
與此同時,各位安全專家帶來的技術分享也是活動最具干貨的重磅環節。來自昆侖實驗室、騰訊安全天馬實驗室、R3kapig團隊、騰訊藍軍、DeadEye安全試驗研究室、阿斯巴甜攻防實驗室、奇安信技術研究院天工實驗室、奇安信代碼安全實驗室等頂尖安全實驗室及團隊的安全專家、安全研究員圍繞衛星通信網絡、虛擬貨幣等前沿技術趨勢,云原生容器集群、供應鏈、智能汽車、反詐等多維度實戰技巧,進行了精彩分享。
