5月29日,由补天漏洞响应平台(以下简称补天平台)主办的2019补天白帽大会在上海举行。本届大会全面涵盖了Web安全、移动安全、物联网安全、工控安全、密码安全、系统安全、二进制漏洞挖掘技术、软件逆向技术、关键信息基础设施保护、安全技术发展趋势等前沿话题,吸引了国内外知名黑客、安全大牛、企业安全负责人及知名学者参与。
大会期间,补天平台总经理白健正式对外发布了“补天五星计划”,将漏洞响应分为Web、移动App、IoT、工控、操作系统五个方面,覆盖所有主要漏洞品类,实现漏洞响应服务的精细化运营。
图/补天平台负责人白健
漏洞响应服务面临的三大趋势
随着网络安全产业的的发展,漏洞已经成为攻防两端必争的战略资源。白健表示,2019年,漏洞响应行业主要呈现出以下三个特点:
第一,漏洞利用产业化。2017年,永恒之蓝勒索病毒在全球的肆虐,让大家第一次认识到了“军火级”漏洞武器的威力。这次勒索病毒的爆发成为了一个里程碑事件,“高危漏洞+网络武器”成为标配。白健认为,产业互联网蓬勃发展带来了数据的高度集中,不法分子利用漏洞加密勒索比贩卖数据还要凶猛,他们分工明确、合作紧密,俨然已经形成了一个规模庞大的产业链条。
第二,攻防演习常态化。例如自2016年开始,贵阳每年都会开展基于网络与大数据应用的目标展开攻击与防护应急演练活动,主要目的就是在真实的网络环境中完成安全检验,排查风险。除了在国家政府层面组织的攻防实战演习外,行业级、企业级的攻防演习、安全众测、漏洞悬赏等攻防驱动的安全体系建设,已经形成一种常态化的机制。
第三,人才缺口扩大化。根据普华永道的研究报告显示,近几年我国网络安全人才缺口数量不断上升,2019年网络安全人才缺口可能达到150万。白健认为,目前我国大量的安全人才缺乏系统的培训,尤其攻击性人才更多还在依靠个人兴趣和天赋。
漏洞品类、奖励以及人才培养全面升级
为应对新时代漏洞响应的挑战,补天平台正式发布了“补天五星计划”,全面升级了补天平台的漏洞响应能力,主要包括以下三个方面:
第一,漏洞收集全面升级,覆盖Web、移动App、IoT、工控、操作系统等所有主要漏洞品类,实现漏洞响应服务的精细化运营;
第二,漏洞奖励全面升级,补天平台的漏洞奖励金额将从2016年的200万元,提升到2019年的2000万元,并且计划在2020年达到4000万元,从而激励民间白帽子团体利用黑客技术,守护国家和企业的网络安全;
第三,学习成长全面升级,补天平台将通过白帽导师、白帽社区、线下白帽沙龙、白帽在线课堂、白帽荣誉激励等手段,给予白帽子体系化的培训和升级服务,全面提升白帽子本身的漏洞攻防能力。
同时,补天平台还将与网络安全企业及各大SRC、CNVD、CNNVD、清华大学-奇安信网络空间安全联合研究中心等机构开展多方协同,共建漏洞响应生态。
白健强调:“过去、现在和未来,补天漏洞平台都致力于做好三件事,即维护企业网络安全、降低漏洞被利用的风险、培养网络安全人才。补天致力于打造一个精细化运营的漏洞响应平台,把民间的技术达人与政企单位的网络安全更好的连接在一起,引导并培养白帽黑客成为国家和政企机构网络安全的守护者。”
