9月17日,面向全球白帽與科技精英的全球安防行業大會2021白帽大會在北京舉行。作為《條例》(以下簡稱《條例》)釋出以來的首屆白帽行業盛會,來自監管機構、安全團隊、研究機構和頂級白帽的嘉賓齊聚一堂。
工業和資訊化部網絡安全局副局長肖俊芳,中國資訊通信研究院安全研究所副所長于慶齡,中國資訊通信研究院網絡安全響應中心主任薄喆,北京賽博昆侖科技有限公司創始人兼首席執行官MJ, Ltd.、華為雲首席安全生态官萬濤、位元組跳動安全中心負責人、騰訊安全天馬實驗室負責人、騰訊安全研究院副院長林偉、進階安全專家葉馬、實戰攻防團隊藍隊組長楊青、企安信集團董事長齊向東, 企安信集團副總裁、漏洞響應平台負責人張卓等嘉賓應邀出席。SRC十餘家企業、近100家國内外優秀安全實驗室和安保團隊也參加了會議。
漏洞管理法規生效 白帽集團有行為"标準"
網絡安全行業已發展成為快車道,白帽人才已成為維護網絡安全行業的重要支撐力量。工業和資訊化部網絡安全局副局長肖俊芳在緻辭中表示,自9月1日工業和資訊化部網絡安全威脅與漏洞資訊共享平台啟動以來,已收到來自電信網絡、網際網路 車聯網等領域,其中以該平台為代表的第三方漏洞平台,在支援和積極引導白帽集團方面發揮了重要作用。
企安信集團董事長齊向東在緻辭中表示,《網絡産品安全漏洞管理規定》将在網絡産品提供商、白帽集團、漏洞平台三個方面發揮激勵作用。其中,漏洞管理法規将白帽的行為合法化、合法化,給白帽提供安全感。
戚向東指出,一方面《規定》明确鼓勵民間力量開展漏洞挖掘工作,以發現、收集、釋放等行為為紅線,引導白帽在符合法律的條件下發揮價值;2021年,SRC公司将通過Sky-Replacement Platform向White Hat支付高達13萬美元的個人漏洞獎金。
對于漏洞平台來說,漏洞管理法規的實施,也為漏洞響應平台提供了健康成長的方向。接下來,天将繼續優化平台能力的提升,民聯白帽前瞻指導,幫助廠商建構和營運符合産品漏洞要求的平台,保持漏洞這一重要安全線。
《2021年白帽人才報告》釋出網絡安全進入後00時代
在國内良好政策環境和産業環境的帶動下,中國白帽人才的整體能力建設不斷增強。在白帽大會上,啟安新集團副總裁張卓釋出的《中國白帽人才能力與發展現狀研究報告》也從多個方面印證了中國白帽人才的特點:勤奮勤奮的漏洞"挖掘機",堅持"發電為愛",成為00後的主力軍。
報告顯示,約38.8%的白帽人才,人均有效安全漏洞送出數量超過10個,而人均送出有效漏洞的4.7%左右的白帽人才每年送出300多個有效漏洞,堪稱漏洞社群的"超級挖掘機"。
值得注意的是,這些漏洞"挖掘機"年齡較小,00後已成為國内白帽人才的主力軍,占比高達38.4%,95後占比34.6%,甚至少數10後的年輕人加入白帽團隊,網絡安全已開始進入後00時代, 未來可以。今年的白帽獎,也為這群年輕人頒發了"補貨日最具活力白帽獎",為項目申請率、項目通過率、項目效率遙遙領先于白帽少年獎。
這些勤奮的白帽人才在自學上投入了大量的時間成本,在白帽調查中,每周自學黑客技術的平均時間超過15.0小時,其中14.1%的白帽每周自學時間為20-50小時,稱為"白帽學習";
但最令人欽佩的是,"個人愛好"是辛勤工作的白帽集團挖掘和送出如此多漏洞的主要驅動力,超過64%的受訪者表示這是主要原因。強烈的自我認同感也可能是白帽子"為愛情發電"的原因之一,近80%的白帽認為白帽工作很酷或有點酷。
首屆星光獎頒獎
作為企業與白帽之間的橋梁和紐帶,修補漏洞響應平台擁有8年豐富的漏洞營運經驗平台,已登記白帽8.7萬人,報告的漏洞總數超過67萬個,企業數量超過6000個。
今年的白帽大會,首次為白帽人才與安全應急響應中心發起"補星獎"年度評選活動,針對旅遊業"最受歡迎白帽團隊"和"最受歡迎安全應急響應中心",共同為網絡安全人員加油打氣,促進行業健康發展, 營造良好的安全生态。
經過材料稽核、公衆評審、專業評審、特邀白帽評審等環節,騰訊安全應急響應中心、百度安全應急響應中心、JD.com 安全應急響應中心、螞蟻安全響應中心、陌生人安全應急響應中心、塗鴉安全響應中心、位元組反彈安全中心、OPPO安全應急響應中心8家企業SRC榮獲"最受歡迎應急響應中心"獎, 零組攻擊和防禦實驗室,Chamd5安全團隊,Loner,Timeline Sec,Nu1L團隊,白帽100安全攻擊和防禦實驗室,WhiteCat安全團隊被評為"最受歡迎的安全團隊"。
同時,最有價值白帽獎、貢獻最大白帽獎、最公益能源獎、最具潛力白帽獎也在大會上公布,十幾位表現突出的白帽人才在平台獲得榮譽,充分展現了民用安全從業人員的生命力。
技術和政策的雙向深入交流
《網絡産品安全漏洞管理條例》的正式實施,明确了各類主體的責任和義務,對相關網絡從業人員影響較大。為促進各方當事人更好地了解各項規定,促進漏洞管理的有序發展,大會專門舉辦了網絡産品安全漏洞管理與實踐閉門論壇。
中國資訊通信研究院安全研究所網絡安全響應中心主任薄哲詳細介紹了網絡安全威脅和漏洞資訊共享平台,并與參與企業共同探讨了網絡産品漏洞管理的規定。
為了幫助更多企業建立專屬安全應急中心,按照漏洞管理規定,奇安信首次推出"全棧SRC服務",通過持續監控和漏洞檢測、端到端服務、個性化門戶、漏洞資訊上報、線上線下聯合營運等四項服務,為企業提供安全可控的服務, 保姆式安全服務的全棧管理。
同時,安全專家帶來的技術共享也是活動中最枯燥的部分。來自昆侖實驗室、騰訊安全天馬實驗室、R3kapig團隊、騰訊藍軍、死眼安全實驗室、阿斯巴甜攻防實驗室、千安信技術研究院天功實驗室、千安新代碼安全實驗室等頂級安防實驗室和團隊的安全專家和安全研究人員,圍繞衛星通信等前沿技術趨勢,分享了他們多元度的實踐技能 網絡和虛拟貨币。
(資料來源:中國網購)