9月17日,面向全球白帽与科技精英的全球安防行业大会2021白帽大会在北京举行。作为《条例》(以下简称《条例》)发布以来的首届白帽行业盛会,来自监管机构、安全团队、研究机构和顶级白帽的嘉宾齐聚一堂。
工业和信息化部网络安全局副局长肖俊芳,中国信息通信研究院安全研究所副所长于庆龄,中国信息通信研究院网络安全响应中心主任薄喆,北京赛博昆仑科技有限公司创始人兼首席执行官MJ, Ltd.、华为云首席安全生态官万涛、字节跳动安全中心负责人、腾讯安全天马实验室负责人、腾讯安全研究院副院长林伟、高级安全专家叶马、实战攻防团队蓝队组长杨青、企安信集团董事长齐向东, 企安信集团副总裁、漏洞响应平台负责人张卓等嘉宾应邀出席。SRC十余家企业、近100家国内外优秀安全实验室和安保团队也参加了会议。
漏洞管理法规生效 白帽集团有行为"标准"
网络安全行业已发展成为快车道,白帽人才已成为维护网络安全行业的重要支撑力量。工业和信息化部网络安全局副局长肖俊芳在致辞中表示,自9月1日工业和信息化部网络安全威胁与漏洞信息共享平台启动以来,已收到来自电信网络、互联网 车联网等领域,其中以该平台为代表的第三方漏洞平台,在支持和积极引导白帽集团方面发挥了重要作用。
企安信集团董事长齐向东在致辞中表示,《网络产品安全漏洞管理规定》将在网络产品提供商、白帽集团、漏洞平台三个方面发挥激励作用。其中,漏洞管理法规将白帽的行为合法化、合法化,给白帽提供安全感。
戚向东指出,一方面《规定》明确鼓励民间力量开展漏洞挖掘工作,以发现、收集、释放等行为为红线,引导白帽在符合法律的条件下发挥价值;2021年,SRC公司将通过Sky-Replacement Platform向White Hat支付高达13万美元的个人漏洞奖金。
对于漏洞平台来说,漏洞管理法规的实施,也为漏洞响应平台提供了健康成长的方向。接下来,天将继续优化平台能力的提升,民联白帽前瞻指导,帮助厂商构建和运营符合产品漏洞要求的平台,保持漏洞这一重要安全线。
《2021年白帽人才报告》发布网络安全进入后00时代
在国内良好政策环境和产业环境的带动下,中国白帽人才的整体能力建设不断增强。在白帽大会上,启安新集团副总裁张卓发布的《中国白帽人才能力与发展现状研究报告》也从多个方面印证了中国白帽人才的特点:勤奋勤奋的漏洞"挖掘机",坚持"发电为爱",成为00后的主力军。
报告显示,约38.8%的白帽人才,人均有效安全漏洞提交数量超过10个,而人均提交有效漏洞的4.7%左右的白帽人才每年提交300多个有效漏洞,堪称漏洞社区的"超级挖掘机"。
值得注意的是,这些漏洞"挖掘机"年龄较小,00后已成为国内白帽人才的主力军,占比高达38.4%,95后占比34.6%,甚至少数10后的年轻人加入白帽团队,网络安全已开始进入后00时代, 未来可以。今年的白帽奖,也为这群年轻人颁发了"补货日最具活力白帽奖",为项目申请率、项目通过率、项目效率遥遥领先于白帽少年奖。
这些勤奋的白帽人才在自学上投入了大量的时间成本,在白帽调查中,每周自学黑客技术的平均时间超过15.0小时,其中14.1%的白帽每周自学时间为20-50小时,称为"白帽学习";
但最令人钦佩的是,"个人爱好"是辛勤工作的白帽集团挖掘和提交如此多漏洞的主要驱动力,超过64%的受访者表示这是主要原因。强烈的自我认同感也可能是白帽子"为爱情发电"的原因之一,近80%的白帽认为白帽工作很酷或有点酷。
首届星光奖颁奖
作为企业与白帽之间的桥梁和纽带,修补漏洞响应平台拥有8年丰富的漏洞运营经验平台,已登记白帽8.7万人,报告的漏洞总数超过67万个,企业数量超过6000个。
今年的白帽大会,首次为白帽人才与安全应急响应中心发起"补星奖"年度评选活动,针对旅游业"最受欢迎白帽团队"和"最受欢迎安全应急响应中心",共同为网络安全人员加油打气,促进行业健康发展, 营造良好的安全生态。
经过材料审核、公众评审、专业评审、特邀白帽评审等环节,腾讯安全应急响应中心、百度安全应急响应中心、JD.com 安全应急响应中心、蚂蚁安全响应中心、陌生人安全应急响应中心、涂鸦安全响应中心、字节反弹安全中心、OPPO安全应急响应中心8家企业SRC荣获"最受欢迎应急响应中心"奖, 零组攻击和防御实验室,Chamd5安全团队,Loner,Timeline Sec,Nu1L团队,白帽100安全攻击和防御实验室,WhiteCat安全团队被评为"最受欢迎的安全团队"。
同时,最有价值白帽奖、贡献最大白帽奖、最公益能源奖、最具潜力白帽奖也在大会上公布,十几位表现突出的白帽人才在平台获得荣誉,充分体现了民用安全从业人员的生命力。
技术和政策的双向深入交流
《网络产品安全漏洞管理条例》的正式实施,明确了各类主体的责任和义务,对相关网络从业人员影响较大。为促进各方当事人更好地理解各项规定,促进漏洞管理的有序发展,大会专门举办了网络产品安全漏洞管理与实践闭门论坛。
中国信息通信研究院安全研究所网络安全响应中心主任薄哲详细介绍了网络安全威胁和漏洞信息共享平台,并与参与企业共同探讨了网络产品漏洞管理的规定。
为了帮助更多企业建立专属安全应急中心,按照漏洞管理规定,奇安信首次推出"全栈SRC服务",通过持续监控和漏洞检测、端到端服务、个性化门户、漏洞信息上报、线上线下联合运营等四项服务,为企业提供安全可控的服务, 保姆式安全服务的全栈管理。
同时,安全专家带来的技术共享也是活动中最枯燥的部分。来自昆仑实验室、腾讯安全天马实验室、R3kapig团队、腾讯蓝军、死眼安全实验室、阿斯巴甜攻防实验室、千安信技术研究院天功实验室、千安新代码安全实验室等顶级安防实验室和团队的安全专家和安全研究人员,围绕卫星通信等前沿技术趋势,分享了他们多维度的实践技能 网络和虚拟货币。
(资料来源:中国网购)