補天漏洞平臺為什么能吸引眾多白帽和企業?
原創【51CTO.com原創稿件】3月7日,維基解密分批公開了據稱是美國中情局與網絡攻擊相關的一批秘密文件,文件揭露了美國中央情報局黑客部隊的黑暗歷史:攻擊手法、攻擊目標、會議記錄以及幾乎所有的黑客工具均被曝光——所有的黑客工具涉及7億行代碼。
這一信息的曝出著實讓記者震驚,也讓記者深感網絡安全形勢的嚴峻,即便是中情局這樣的頂尖機構,如此敏感機密的材料還會被泄露。也再次印證了這世上沒有百分百安全的系統,任何系統都可能存在漏洞。然而有漏洞并不可怕,可怕的是你不知道有漏洞,甚至知道了還不去修復。
360企業安全集團董事長齊向東表示:“為了能夠幫助企業提升安全性,自2013年啟動庫帶計劃,到現在的補天漏洞檢測與響應平臺,360發動全社會的白帽去尋找漏洞,讓這些漏洞能夠及時被響應和修復,這也是建立補天平臺的初衷和堅持的宗旨。”
目前,補天漏洞檢測與響應平臺注冊的白帽已經達到了31633名,累計發現了20多萬個漏洞,發出的獎金接近900萬元,現在注冊廠商已經有4000多家,可以說,補天漏洞檢測與響應平臺為企業和白帽搭起了一座暢通的橋梁。
360企業安全集團董事長齊向東
為了讓這座溝通橋梁更加通暢、高效、有效,補天漏洞檢測與響應平臺于3月30日在深圳舉辦了補天白帽大會。會上,美國知名白帽平臺HackerOne以及Defcon黑客大會的Defcon group參會并分享了精彩議題,超過百位中外白帽子、百余家企業代表共聚一堂,針對當前網絡安全形勢和安全威脅進行了解讀,探討了漏洞響應與防范措施,以及企業與白帽子協同機制建立等內容。
中西合作,提供更廣泛及時的漏洞響應
美國白帽平臺初創公司HackerOne擁有來自150多個國家超過十萬人的注冊白帽,合作企業七百多家。其中,美國五角大樓、政府就是他們的客戶之一。Hacker one COO 王寧在接受記者采訪時介紹說:“如果一個公司真的對他的產品安全、對他的品牌特別在乎的話,就會已經意識到用眾測解決軟件產品系統問題是一個很有效的方法,比如像美國Uber、airbnb、雅虎等公司。”
對于HackerOne的商業模式,王寧表示:“HackerOne是一家公司,商業模式為Market place,我們把企業和平臺連接到一起。一種是,需要做眾測的公司會付獎金給白帽,我們在中間收取服務的費用。另一種是,為需要各種服務的顧客提供服務,收取服務性的收入。”另外,為了保證雙方權益,會通過HackerOne簽訂漏洞披露的規則,比如白帽需要用什么樣的漏洞報告,哪些白帽不能夠公開等等。
在補天白帽大會上,齊向東向與會人員表示:“未來,我們雙方會在漏洞響應、安全測試等多方面展開合作,結合中西方的黑客各自的技術優勢,有效提升網站安全防護能力,以應對全球化的網絡攻擊和日益猖獗的全球信息泄露及數據販賣行為。我們希望,我們的合作與協同,能夠實現技術共享、人才共享和更廣泛、更及時的漏洞響應,促進全球互聯網安全水平能力的提升。”
在記者看來,無論是美國的HackerOne還是中國的補天漏洞響應與檢測平臺,最核心的都是聚集眾多白帽之力來對抗日益猖獗的安全威脅。雖身處地理位置不同,職責和意義卻相同。如果雙方能夠達成深度合作,也許會為企業漏洞響應與檢測創造更好的機制。
白帽子在補天平臺收入如何?聽聽白帽怎么說……
通過漏洞響應與檢測平臺,白帽子獲得的收入如何?是否能夠獲得不錯的收入呢?帶著這些疑問,在大會現場,記者采訪了“U神”和“華不再揚”兩名90后白帽子,他們表示,通過在補天平臺提交漏洞,他們結識了很多志同道合的朋友。他們聚集到補天平臺,一方面是興趣使然,喜歡鉆研技術,以及自我突破的那種成就感。另一方面是獎金的吸引,不同的漏洞級別有不同級別的獎金,挖得多收入就多,總體收入還不錯。此外,就是為網絡安全做貢獻,幫助企業及時發現漏洞,修復漏洞,避免漏洞造成損失。
“U神”也坦言:“通過漏洞平臺提交所得肯定不如黑產獲得的收入高。但是,我可以認真的說,我沒做過黑產,因為我對信息安全法律比較了解,很多我們細微的動作可能觸犯到法律,經常挖了洞也是點到為止,也不會太高調。現在黑產這方面很多人也是因為生活壓力或者需要賺更多的錢,開始認為只做一次黑產再也不做了,結果有些人沒有抵擋住金錢的誘惑,錢來的挺快的,就會一直做下去,慢慢陷入到黑產行業。” “U神”指出, 做黑產拿下某個網站的數據后,可能一天就可以賺到“白帽子”挖漏洞一個月的收入。
面對巨額的金錢誘惑確實有白帽子禁受不了金錢的引誘而加入黑產的陣營,不過大多數白帽子還是能堅守住底線,一方面是因為法律,一方面也是因為道德的約束。補天漏洞平臺負責人白健表示,為了提升白帽的正義感和榮譽感,除了對于白帽的正向引導和獎金禮品鼓勵外,補天定期在白帽集中區域舉辦沙龍活動,在肯定優秀白帽能力和突出貢獻的同時,也特別邀請知名律師開設法律講堂,普及法律知識,并邀請資深安全專家,幫助白帽做好職業規劃。
企業怎么看白帽通過補天平臺提交漏洞這件事
作為選擇補天漏洞平臺進行漏洞檢測的企業來說,是怎么看待白帽通過補天平臺提交漏洞這件事呢?
攜程信息安全總監凌云表示:“對于攜程來說,目前公司共有三萬多名員工,其中開發有三千多名,安全人員四十多人。四十多人要保障三千多人開發的程序,保障三萬多人的使用安全,很明顯是有難度的。所以需要借助一些外力來提升公司的整體安全。而補天平臺就是一個很好的外力,可以幫助我們測試系統。我們期望更多的白帽子或安全從業人員從更多的角度看企業安全,因為每個人的思維不同,發現問題的角度和思路就不同。”
【51CTO原創稿件,合作站點轉載請注明原文作者和出處為51CTO.com】
