【51CTO.com原創(chuàng)稿件】俗語有云：“單絲不成線，獨(dú)木不成林”。

三國時(shí)代東吳之主孫權(quán)曾說：“能用眾力，則無敵于天下矣;能用眾智，則無畏于圣人矣。”

“眾”的氣力，遠(yuǎn)弘遠(yuǎn)于個(gè)體。能用“眾力”者必能窮致“眾智”，能用“眾智”者必能發(fā)揮“眾力”，故其力無敵于天下，其智勝過所謂大賢大智的圣人。孫權(quán)之所以能屢次重創(chuàng)來犯之?dāng)?，并非因其能征善?zhàn)、謀略出眾，而是由于他會(huì)用“眾力”、“眾智”。

互聯(lián)網(wǎng)時(shí)代，安全威脅層出不窮，如何保障自身的安全是每個(gè)企業(yè)都關(guān)心的問題，也是工作的重中之重。但是由于世界上沒有100%安全的業(yè)務(wù)系統(tǒng)，大部分的安全隱患都是由企業(yè)本身的安全漏洞而起。即便是那些看起來最沒法攻破的碉堡。

為了幫助企業(yè)發(fā)現(xiàn)這些安全漏洞，提升企業(yè)的安全。近兩年來，國內(nèi)匯集白帽之力發(fā)掘漏洞的漏洞檢測(cè)和響應(yīng)平臺(tái)不斷興起。例如：補(bǔ)天、先知、漏洞盒子、SOBUG，以及企業(yè)自建的安全應(yīng)急響應(yīng)中心(簡(jiǎn)稱：SRC)等平臺(tái)。通過這些平臺(tái)，來自全國各地的白帽子都可以將最新發(fā)現(xiàn)的漏洞盡快通知到企業(yè)。

近日，記者走訪了補(bǔ)天漏洞平臺(tái)負(fù)責(zé)人白健，對(duì)這家匯聚眾多白帽的國內(nèi)最大的漏洞檢測(cè)和響應(yīng)平臺(tái)進(jìn)行了深入了解。下面，讓我們一起來看看該平臺(tái)是如何合眾白帽之力守衛(wèi)互聯(lián)網(wǎng)安全的。

[[186666]]

補(bǔ)天漏洞平臺(tái)負(fù)責(zé)人白健

企業(yè)安全防御需合多方之力

目前，國內(nèi)很多的企業(yè)在安全方面的投入往往不夠，安全基礎(chǔ)薄弱，而且在安全人才方面普遍匱乏。通常為了追求效率，采用開源軟件進(jìn)行短時(shí)研發(fā)，但這往往忽視了安全問題，尤其是中小型企業(yè)。

白健在接受記者采訪時(shí)表示，盡管安全人員采取各種手段加強(qiáng)安全防護(hù)，但是仍不可避免的遭受零日漏洞威脅。這種漏洞一旦被發(fā)現(xiàn)并公開后，將會(huì)立即被惡意利用，其傳播速度非?？?。為了避免造成更大的危害，白健建議企業(yè)從以下三方面做起：一是，企業(yè)響應(yīng)要快，進(jìn)行快速的處理。比如立即升級(jí)，在攻擊危害很大時(shí)，可以采取關(guān)閉網(wǎng)絡(luò)阻斷攻擊。二是，政府作為監(jiān)管方要足夠重視零日漏洞威脅，要引導(dǎo)規(guī)范，制定法規(guī)，阻止零日漏洞POC的廣泛傳播。三是，作為安全廠商，要及時(shí)通知企業(yè)，并給出解決方案。

堅(jiān)持公益 合眾白帽之力守衛(wèi)互聯(lián)網(wǎng)安全

作為國內(nèi)知名的安全廠商，360旗下的補(bǔ)天漏洞平臺(tái)，從漏洞的檢測(cè)與響應(yīng)出發(fā)，幫助企業(yè)提升安全防范能力。該平臺(tái)是360企業(yè)安全集團(tuán)旗下的一支安全研究團(tuán)隊(duì)，也是國內(nèi)首個(gè)現(xiàn)金獎(jiǎng)勵(lì)漏洞平臺(tái)。據(jù)白健介紹，補(bǔ)天是一個(gè)不以盈利為目的的平臺(tái)，其核心工作主要包含兩方面：一是做公有SRC，通過眾多的白帽收集漏洞，然后免費(fèi)通知企業(yè)做響應(yīng)，平臺(tái)補(bǔ)貼相關(guān)成本。二是給沒有力量建立SRC的傳統(tǒng)企業(yè)以及中小企業(yè)，在補(bǔ)天的平臺(tái)上建立他們自己專屬的SRC，企業(yè)只需要在平臺(tái)上注冊(cè)，簽署相關(guān)服務(wù)協(xié)議，授權(quán)白帽子進(jìn)行測(cè)試即可，補(bǔ)天幫助企業(yè)運(yùn)營，托管白帽子獎(jiǎng)金發(fā)放，平臺(tái)不收取任何費(fèi)用。

目前，補(bǔ)天平臺(tái)擁有3萬多名白帽子，已發(fā)現(xiàn)的漏洞總數(shù)20多萬，發(fā)放獎(jiǎng)金近900萬，還有很多實(shí)物禮品和積分。平臺(tái)上實(shí)際注冊(cè)企業(yè)達(dá)4200多家，漏洞涉及企業(yè)2萬多家企業(yè)。

什么樣的白帽子才能入駐補(bǔ)天漏洞平臺(tái)?

首先，你得是一名真正的白帽子。所謂白帽子，通俗的描述是正面黑客,他可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會(huì)惡意去利用，而是報(bào)告其漏洞，當(dāng)然不是冒然的公之于大眾面前，而是告知企業(yè)。這樣，企業(yè)將可以在被攻擊者利用之前來修補(bǔ)系統(tǒng)漏洞。

白帽子想要入駐補(bǔ)天漏洞平臺(tái)，只要登錄網(wǎng)站自行填寫相關(guān)信息注冊(cè)即可，白帽在平臺(tái)上的身份信息是透明的。白健表示，白帽子都是一群充滿正義感的人。目前平臺(tái)上的白帽學(xué)生占比很多，約為30%-40%，主要以大學(xué)生為主，其中大專畢業(yè)的相對(duì)較多。這些白帽子有很多是非計(jì)算機(jī)科班出身，純粹出于自身愛好。他們最大的共同點(diǎn)就是逆向思維強(qiáng)，崇尚自由與個(gè)性。他們考慮事情的角度多樣化，發(fā)現(xiàn)的漏洞的方式各不相同，當(dāng)他們聚集到補(bǔ)天這個(gè)平臺(tái)，彼此也成為志同道合的朋友。此外，不少企業(yè)招聘的學(xué)歷門檻高，而很多優(yōu)秀的白帽達(dá)不到這個(gè)門檻，現(xiàn)在企業(yè)只需要通過平臺(tái)發(fā)布項(xiàng)目，白帽子領(lǐng)任務(wù)，達(dá)到雙方的共贏。

成為補(bǔ)天平臺(tái)的白帽之后即可提交漏洞，根據(jù)漏洞發(fā)現(xiàn)的難易、漏洞可能造成的危害程度獲得一定的積分和獎(jiǎng)勵(lì)。等白帽子能力和信譽(yù)排名積累到一定程度，就可以通過補(bǔ)天平臺(tái)領(lǐng)取懸賞任務(wù)，完成任務(wù)即可獲得企業(yè)提供的更多現(xiàn)金獎(jiǎng)勵(lì)。

補(bǔ)天將白帽分為普通白帽和精英白帽。因?yàn)橛械钠髽I(yè)要求較高，必須必備一定的技能和信譽(yù)才能完成任務(wù)。在得到企業(yè)的授權(quán)后，平臺(tái)會(huì)為其量身挑選30-50名經(jīng)驗(yàn)豐富的精英白帽，對(duì)該企業(yè)進(jìn)行專業(yè)的漏洞檢測(cè)。此外，參與“眾測(cè)”的這些精英白帽均完成實(shí)名認(rèn)證并簽署保密協(xié)議，通過VPN安全接入，結(jié)合平臺(tái)獨(dú)有的網(wǎng)絡(luò)流量記錄和分析產(chǎn)品進(jìn)行監(jiān)測(cè)，平臺(tái)全程監(jiān)控白帽子操作行為，保證測(cè)試過程安全可控。檢測(cè)結(jié)束，平臺(tái)提供專業(yè)詳實(shí)的修復(fù)方案，讓企業(yè)快速排除漏洞安全隱患，迅速提升安全防護(hù)能力。

白健表示，補(bǔ)天積極引導(dǎo)白帽正向發(fā)展，引導(dǎo)白帽用自己的力量為社會(huì)做貢獻(xiàn)，同時(shí)打消外界對(duì)他們的誤解。為了提升白帽的正義感和榮譽(yù)感，除了對(duì)于白帽的正向引導(dǎo)和獎(jiǎng)金禮品鼓勵(lì)外，補(bǔ)天定期在白帽集中區(qū)域舉辦沙龍活動(dòng)，在肯定優(yōu)秀白帽能力和突出貢獻(xiàn)的同時(shí)，也特別邀請(qǐng)知名律師開設(shè)法律講堂，普及法律知識(shí)，并邀請(qǐng)資深安全專家，幫助白帽做好職業(yè)規(guī)劃，這也是補(bǔ)天的社會(huì)價(jià)值所在。

補(bǔ)天白帽大會(huì)召開在即

為了建立更高效有效的溝通橋梁，補(bǔ)天漏洞檢測(cè)與響應(yīng)平臺(tái)主辦的補(bǔ)天白帽大會(huì)將于3月30日在深圳召開。屆時(shí)，美國知名白帽平臺(tái)HackerOne以及Defcon黑客大會(huì)的defcon group也將參會(huì)并分享精彩議題，廣泛傳播黑客文化，弘揚(yáng)黑客精神。來自通報(bào)中心、Cncert、國測(cè)等政府部門領(lǐng)導(dǎo)也將出席致辭，超過百位中外白帽子、百余家企業(yè)代表共聚一堂，大會(huì)旨在解讀當(dāng)前網(wǎng)絡(luò)安全形勢(shì)和安全威脅，探討漏洞響應(yīng)與防范措施，建立企業(yè)與白帽子協(xié)同機(jī)制，全方位解決全社會(huì)網(wǎng)絡(luò)安全隱患。大會(huì)現(xiàn)場(chǎng)各地白帽將會(huì)擦出怎樣的火花，讓我們拭目以待!

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】