補天白帽大會召開 國家隊引領(lǐng)白帽全方位解決網(wǎng)絡(luò)安全隱患

　　5月29日，作為首個面向民間安全群體(白帽子)和安全從業(yè)者、技術(shù)精英開放的，專注于漏洞響應(yīng)與防護的全球性安全行業(yè)盛會——2019補天白帽大會在上海舉辦。

　　本屆補天白帽大會是奇安信集團正式躋身“國家隊”后首次舉辦的白帽大會，也是國內(nèi)規(guī)模最大的白帽盛典。國內(nèi)外知名白帽、技術(shù)精英、安全愛好者，知名企業(yè)CISO等上千名網(wǎng)絡(luò)安全頂尖攻防人才齊聚一堂，共同就漏洞技術(shù)、安全事件進行研討分享。

　　據(jù)了解，補天白帽大會由補天漏洞響應(yīng)平臺主辦，由公安部網(wǎng)絡(luò)安全保衛(wèi)局、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)、中國信息安全測評中心、國家信息技術(shù)安全研究中心、中共上海市委網(wǎng)絡(luò)安全和信息化委員會辦公室共同指導(dǎo)，聯(lián)合知名國際安全組織以及國內(nèi)外多家企業(yè)安全運營響應(yīng)中心(SRC)參與。

　　上海市委網(wǎng)信辦總工程師楊海軍，公安部網(wǎng)絡(luò)安全保衛(wèi)局副處長范春玲，國家信息安全研究中心副主任劉瑛煜，金融安全處副處長曹岳，中國信息安全測評中心 漏洞庫管理處處長時志偉、副處長郝永樂，國家信息安全漏洞共享平臺賈子驍，交通通信信息中心主任林榕，奇安信集團總裁吳云坤等嘉賓出席本屆補天白帽大會。

　　補天五星計劃發(fā)布  漏洞品類全覆蓋

　　當(dāng)前，隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、5G等新技術(shù)新應(yīng)用的普及，海量數(shù)據(jù)大集中的趨勢日益明顯、企業(yè)數(shù)據(jù)聚集規(guī)模快速膨脹，利用漏洞竊取用戶數(shù)據(jù)、加密勒索等網(wǎng)絡(luò)安全風(fēng)險日益突出。

　　針對現(xiàn)階段我國政企機構(gòu)網(wǎng)絡(luò)安全所面臨的新風(fēng)險，2019補天白帽大會上補天漏洞響應(yīng)平臺發(fā)布了“補天五星計劃”，以“重塑安全屬性，再創(chuàng)漏洞價值”為主旨，將漏洞響應(yīng)范圍從原來的Web為主，升級化為Web、系統(tǒng)、 IOT、工控、移動等五大方向，全面覆蓋了當(dāng)前新一代網(wǎng)絡(luò)安全環(huán)境下的各種漏洞風(fēng)險。由此，補天漏洞響應(yīng)平臺也為國內(nèi)第一家全面覆蓋各種漏洞種類的漏洞響應(yīng)平臺，并躋身全球三大漏洞平臺之列。

　　(圖/補天五星計劃發(fā)布儀式)

　　“過去、現(xiàn)在和未來，補天漏洞平臺都致力于做好三件事：維護企業(yè)網(wǎng)絡(luò)安全、解決數(shù)據(jù)泄露隱患、培養(yǎng)網(wǎng)絡(luò)安全人才。”補天漏洞響應(yīng)平臺負責(zé)人白健表示，隨著漏洞響應(yīng)品類的增多，白帽子應(yīng)該更有專業(yè)的平臺，把民間的網(wǎng)絡(luò)安全攻防技術(shù)達人與企業(yè)的安全，更好的關(guān)聯(lián)在一起。而補天五星計劃，作為一個長期計劃，將以“協(xié)同保護全社會網(wǎng)絡(luò)安全”為使命，堅持平臺的公益屬性，以互聯(lián)網(wǎng)眾包的方式匯聚白帽子的安全能力，持續(xù)為國內(nèi)企業(yè)的漏洞響應(yīng)提供支持，實現(xiàn)漏洞的發(fā)現(xiàn)與修復(fù)，維護企業(yè)網(wǎng)絡(luò)安全、解決數(shù)據(jù)泄露隱患、培養(yǎng)網(wǎng)絡(luò)安全人才。

　　全方位解決網(wǎng)絡(luò)安全隱患

　　隨著信息化深入發(fā)展和安全問題的日益突出，高危漏洞的民用化和犯罪集團化特點越來越凸顯。

　　與會專家表示，整個漏洞交易變現(xiàn)的鏈條正在從上中下游協(xié)作向一步到位變現(xiàn)靠攏，同時變現(xiàn)的方式也從傳統(tǒng)貨幣升級為比特幣等數(shù)字貨幣。與此同時，利用漏洞發(fā)起的網(wǎng)絡(luò)攻擊，尤其是對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊，將帶來不可估量的損失。

　　為此，在2019補天白帽大會上，盤古實驗室首席科學(xué)家王鐵磊、工控研究專家張釗、獨立安全研究員kevin2600、iOS和MacOS領(lǐng)域?qū)＜襧onathan levin以及復(fù)旦大學(xué)計算機學(xué)院教授楊珉等業(yè)內(nèi)知名專家學(xué)者，針對Web安全、移動安全、物聯(lián)網(wǎng)安全、工控安全、密碼安全、系統(tǒng)安全、二進制漏洞挖掘技術(shù)、軟件逆向技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護、安全技術(shù)發(fā)展趨勢等前沿話題進行技術(shù)分享，話題基本覆蓋了當(dāng)前新技術(shù)環(huán)境下的網(wǎng)絡(luò)安全隱患。

　　同時，針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻防演練和安全體系建設(shè)以及紅藍對抗設(shè)，國家電網(wǎng)、華泰證券、平安金融等企業(yè)，分享央企、金融機構(gòu)的網(wǎng)絡(luò)安全體系建設(shè)經(jīng)驗。

　　與會技術(shù)專家提出，大型廠商應(yīng)對APT級別攻擊時，不僅要及時掌握最前沿的攻防技術(shù)，同時要進行縱深防御能力建設(shè)。

　　(圖/奇安信集團總裁吳云坤)

　　“網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗。”奇安信集團總裁吳云坤在開幕式致辭中表示，應(yīng)通過“44333”(四個假設(shè)、四新戰(zhàn)略、三位一體、三同步和三方制衡)的新一代網(wǎng)絡(luò)安全體系思想，構(gòu)建起一種應(yīng)對和對抗“爭奪權(quán)利和利益”的攻擊者的能力。

　　吳云坤稱，“四個假設(shè)”是指假設(shè)系統(tǒng)一定有沒被發(fā)現(xiàn)的漏洞、假設(shè)一定有已發(fā)現(xiàn)漏洞沒打補丁、假設(shè)系統(tǒng)已經(jīng)被黑、假設(shè)有內(nèi)鬼。“四新戰(zhàn)略”是指以第三代網(wǎng)絡(luò)安全技術(shù)為核心的新戰(zhàn)具、以數(shù)據(jù)驅(qū)動安全技術(shù)為核心的新戰(zhàn)力、以零信任架構(gòu)為核心的新戰(zhàn)術(shù)、以“人+機器”安全運營體系為核心的新戰(zhàn)法。“三位一體”是高中低三位能力立體聯(lián)動的體系;“三同步”是指同步規(guī)劃、同步建設(shè)和同步運營;“三方制衡”是將用戶、云服務(wù)商和安全公司放在一個互相制約的機制下，從最大程度上杜絕漏洞，真正實現(xiàn)長治久安。

　　國家隊引領(lǐng)，白帽子將創(chuàng)造更大價值

　　“網(wǎng)絡(luò)安全的本質(zhì)是人與人之間的攻防對抗，再聰明的機器也不能取代人的作用。”吳云坤提出，新時代網(wǎng)絡(luò)安全防護需要以人為核心，關(guān)注人在安全中的能力和價值，實現(xiàn)安全與信息化的“全面覆蓋、深度結(jié)合、有效檢測、協(xié)同響應(yīng)”。

　　但目前網(wǎng)絡(luò)人才缺口絕大，根據(jù)普華永道的報告，2019年網(wǎng)絡(luò)安全人才缺口可能達到150萬。與此同時，在網(wǎng)絡(luò)安全領(lǐng)域，白帽子又是一個特殊的群體，由于國內(nèi)沒有專門針對白帽子的相關(guān)政策，以致這個群體常常游走于法律邊緣。

　　補天漏洞響應(yīng)平臺作為企業(yè)和企業(yè)和白帽子之間共贏的漏洞響應(yīng)平臺，在公益屬性基礎(chǔ)上，以互聯(lián)網(wǎng)眾包的方式匯聚白帽子的安全能力，實現(xiàn)漏洞的發(fā)現(xiàn)與修復(fù)，維護企業(yè)網(wǎng)絡(luò)安全、解決數(shù)據(jù)泄露隱患、培養(yǎng)網(wǎng)絡(luò)安全人才。這無疑給白帽子提供最好的安全保障和價值平臺。

　　(圖/年度最具潛力白帽獎頒獎儀式)

　　隨著奇安信正式躋身“國家隊”，未來將進一步加強補天漏洞響應(yīng)平臺的建設(shè)，完善平臺規(guī)則，更好滴匯聚民間網(wǎng)絡(luò)安全人才力量，進一步解決各類網(wǎng)絡(luò)安全隱患，共同守護網(wǎng)絡(luò)安全的城墻，為政企機構(gòu)的網(wǎng)絡(luò)安全創(chuàng)造更大價值。同時，進一步利用好這個平臺，充分挖掘社會存量網(wǎng)絡(luò)安全人才資源，加強對社會網(wǎng)絡(luò)安全人才的技能培訓(xùn)和正確引導(dǎo)，讓民間白帽群體為政企網(wǎng)絡(luò)安全發(fā)揮更大價值。