2019補(bǔ)天白帽大會(huì)在上海舉辦 全方位解決網(wǎng)絡(luò)安全隱患

29日，作為首個(gè)面向民間安全群體(白帽子)和安全從業(yè)者、技術(shù)精英開放的，專注于漏洞響應(yīng)與防護(hù)的全球性安全行業(yè)盛會(huì)——2019補(bǔ)天白帽大會(huì)在上海舉辦。

本屆補(bǔ)天白帽大會(huì)是奇安信集團(tuán)正式躋身“國(guó)家隊(duì)”后首次舉辦的白帽大會(huì)，也是國(guó)內(nèi)規(guī)模最大的白帽盛典。國(guó)內(nèi)外知名白帽、技術(shù)精英、安全愛好者，知名企業(yè)CISO等上千名網(wǎng)絡(luò)安全頂尖攻防人才齊聚一堂，共同就漏洞技術(shù)、安全事件進(jìn)行研討分享。

據(jù)了解，補(bǔ)天白帽大會(huì)由補(bǔ)天漏洞響應(yīng)平臺(tái)主辦，由公安部網(wǎng)絡(luò)安全保衛(wèi)局、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)、中國(guó)信息安全測(cè)評(píng)中心、國(guó)家信息技術(shù)安全研究中心、中共上海市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室共同指導(dǎo)，聯(lián)合知名國(guó)際安全組織以及國(guó)內(nèi)外多家企業(yè)安全運(yùn)營(yíng)響應(yīng)中心(SRC)參與。

上海市委網(wǎng)信辦總工程師楊海軍，公安部網(wǎng)絡(luò)安全保衛(wèi)局副處長(zhǎng)范春玲，國(guó)家信息安全研究中心副主任劉瑛煜，金融安全處副處長(zhǎng)曹岳，中國(guó)信息安全測(cè)評(píng)中心 漏洞庫(kù)管理處處長(zhǎng)時(shí)志偉、副處長(zhǎng)郝永樂，國(guó)家信息安全漏洞共享平臺(tái)賈子驍，交通通信信息中心主任林榕，奇安信集團(tuán)總裁吳云坤等嘉賓出席本屆補(bǔ)天白帽大會(huì)。

補(bǔ)天五星計(jì)劃發(fā)布 漏洞品類全覆蓋

當(dāng)前，隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、5G等新技術(shù)新應(yīng)用的普及，海量數(shù)據(jù)大集中的趨勢(shì)日益明顯、企業(yè)數(shù)據(jù)聚集規(guī)模快速膨脹，利用漏洞竊取用戶數(shù)據(jù)、加密勒索等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)日益突出。

針對(duì)現(xiàn)階段我國(guó)政企機(jī)構(gòu)網(wǎng)絡(luò)安全所面臨的新風(fēng)險(xiǎn)，2019補(bǔ)天白帽大會(huì)上補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)布了“補(bǔ)天五星計(jì)劃”，以“重塑安全屬性，再創(chuàng)漏洞價(jià)值”為主旨，將漏洞響應(yīng)范圍從原來(lái)的Web為主，升級(jí)化為Web、系統(tǒng)、 IOT、工控、移動(dòng)等五大方向，全面覆蓋了當(dāng)前新一代網(wǎng)絡(luò)安全環(huán)境下的各種漏洞風(fēng)險(xiǎn)。由此，補(bǔ)天漏洞響應(yīng)平臺(tái)也為國(guó)內(nèi)第一家全面覆蓋各種漏洞種類的漏洞響應(yīng)平臺(tái)，并躋身全球三大漏洞平臺(tái)之列。

“過去、現(xiàn)在和未來(lái)，補(bǔ)天漏洞平臺(tái)都致力于做好三件事：維護(hù)企業(yè)網(wǎng)絡(luò)安全、解決數(shù)據(jù)泄露隱患、培養(yǎng)網(wǎng)絡(luò)安全人才。”補(bǔ)天漏洞響應(yīng)平臺(tái)負(fù)責(zé)人白健表示，隨著漏洞響應(yīng)品類的增多，白帽子應(yīng)該更有專業(yè)的平臺(tái)，把民間的網(wǎng)絡(luò)安全攻防技術(shù)達(dá)人與企業(yè)的安全，更好的關(guān)聯(lián)在一起。而補(bǔ)天五星計(jì)劃，作為一個(gè)長(zhǎng)期計(jì)劃，將以“協(xié)同保護(hù)全社會(huì)網(wǎng)絡(luò)安全”為使命，堅(jiān)持平臺(tái)的公益屬性，以互聯(lián)網(wǎng)眾包的方式匯聚白帽子的安全能力，持續(xù)為國(guó)內(nèi)企業(yè)的漏洞響應(yīng)提供支持，實(shí)現(xiàn)漏洞的發(fā)現(xiàn)與修復(fù)，維護(hù)企業(yè)網(wǎng)絡(luò)安全、解決數(shù)據(jù)泄露隱患、培養(yǎng)網(wǎng)絡(luò)安全人才。

全方位解決網(wǎng)絡(luò)安全隱患

隨著信息化深入發(fā)展和安全問題的日益突出，高危漏洞的民用化和犯罪集團(tuán)化特點(diǎn)越來(lái)越凸顯。

與會(huì)專家表示，整個(gè)漏洞交易變現(xiàn)的鏈條正在從上中下游協(xié)作向一步到位變現(xiàn)靠攏，同時(shí)變現(xiàn)的方式也從傳統(tǒng)貨幣升級(jí)為比特幣等數(shù)字貨幣。與此同時(shí)，利用漏洞發(fā)起的網(wǎng)絡(luò)攻擊，尤其是對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊，將帶來(lái)不可估量的損失。

為此，在2019補(bǔ)天白帽大會(huì)上，盤古實(shí)驗(yàn)室首席科學(xué)家王鐵磊、工控研究專家張釗、獨(dú)立安全研究員kevin2600、iOS和MacOS領(lǐng)域?qū)＜襧onathan levin以及復(fù)旦大學(xué)計(jì)算機(jī)學(xué)院教授楊珉等業(yè)內(nèi)知名專家學(xué)者，針對(duì)Web安全、移動(dòng)安全、物聯(lián)網(wǎng)安全、工控安全、密碼安全、系統(tǒng)安全、二進(jìn)制漏洞挖掘技術(shù)、軟件逆向技術(shù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、安全技術(shù)發(fā)展趨勢(shì)等前沿話題進(jìn)行技術(shù)分享，話題基本覆蓋了當(dāng)前新技術(shù)環(huán)境下的網(wǎng)絡(luò)安全隱患。

同時(shí)，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻防演練和安全體系建設(shè)以及紅藍(lán)對(duì)抗設(shè)，國(guó)家電網(wǎng)、華泰證券、平安金融等企業(yè)，分享央企、金融機(jī)構(gòu)的網(wǎng)絡(luò)安全體系建設(shè)經(jīng)驗(yàn)。

與會(huì)技術(shù)專家提出，大型廠商應(yīng)對(duì)APT級(jí)別攻擊時(shí)，不僅要及時(shí)掌握最前沿的攻防技術(shù)，同時(shí)要進(jìn)行縱深防御能力建設(shè)。

奇安信集團(tuán)總裁吳云坤

“網(wǎng)絡(luò)安全的本質(zhì)是攻防對(duì)抗。”奇安信集團(tuán)總裁吳云坤在開幕式致辭中表示，應(yīng)通過“44333”(四個(gè)假設(shè)、四新戰(zhàn)略、三位一體、三同步和三方制衡)的新一代網(wǎng)絡(luò)安全體系思想，構(gòu)建起一種應(yīng)對(duì)和對(duì)抗“爭(zhēng)奪權(quán)利和利益”的攻擊者的能力。

吳云坤稱，“四個(gè)假設(shè)”是指假設(shè)系統(tǒng)一定有沒被發(fā)現(xiàn)的漏洞、假設(shè)一定有已發(fā)現(xiàn)漏洞沒打補(bǔ)丁、假設(shè)系統(tǒng)已經(jīng)被黑、假設(shè)有內(nèi)鬼。“四新戰(zhàn)略”是指以第三代網(wǎng)絡(luò)安全技術(shù)為核心的新戰(zhàn)具、以數(shù)據(jù)驅(qū)動(dòng)安全技術(shù)為核心的新戰(zhàn)力、以零信任架構(gòu)為核心的新戰(zhàn)術(shù)、以“人+機(jī)器”安全運(yùn)營(yíng)體系為核心的新戰(zhàn)法。“三位一體”是高中低三位能力立體聯(lián)動(dòng)的體系;“三同步”是指同步規(guī)劃、同步建設(shè)和同步運(yùn)營(yíng);“三方制衡”是將用戶、云服務(wù)商和安全公司放在一個(gè)互相制約的機(jī)制下，從最大程度上杜絕漏洞，真正實(shí)現(xiàn)長(zhǎng)治久安。

國(guó)家隊(duì)引領(lǐng)，白帽子將創(chuàng)造更大價(jià)值

“網(wǎng)絡(luò)安全的本質(zhì)是人與人之間的攻防對(duì)抗，再聰明的機(jī)器也不能取代人的作用。”吳云坤提出，新時(shí)代網(wǎng)絡(luò)安全防護(hù)需要以人為核心，關(guān)注人在安全中的能力和價(jià)值，實(shí)現(xiàn)安全與信息化的“全面覆蓋、深度結(jié)合、有效檢測(cè)、協(xié)同響應(yīng)”。

但目前網(wǎng)絡(luò)人才缺口絕大，根據(jù)普華永道的報(bào)告，2019年網(wǎng)絡(luò)安全人才缺口可能達(dá)到150萬(wàn)。與此同時(shí)，在網(wǎng)絡(luò)安全領(lǐng)域，白帽子又是一個(gè)特殊的群體，由于國(guó)內(nèi)沒有專門針對(duì)白帽子的相關(guān)政策，以致這個(gè)群體常常游走于法律邊緣。

補(bǔ)天漏洞響應(yīng)平臺(tái)作為企業(yè)和企業(yè)和白帽子之間共贏的漏洞響應(yīng)平臺(tái)，在公益屬性基礎(chǔ)上，以互聯(lián)網(wǎng)眾包的方式匯聚白帽子的安全能力，實(shí)現(xiàn)漏洞的發(fā)現(xiàn)與修復(fù)，維護(hù)企業(yè)網(wǎng)絡(luò)安全、解決數(shù)據(jù)泄露隱患、培養(yǎng)網(wǎng)絡(luò)安全人才。這無(wú)疑給白帽子提供最好的安全保障和價(jià)值平臺(tái)。

隨著奇安信正式躋身“國(guó)家隊(duì)”，未來(lái)將進(jìn)一步加強(qiáng)補(bǔ)天漏洞響應(yīng)平臺(tái)的建設(shè)，完善平臺(tái)規(guī)則，更好滴匯聚民間網(wǎng)絡(luò)安全人才力量，進(jìn)一步解決各類網(wǎng)絡(luò)安全隱患，共同守護(hù)網(wǎng)絡(luò)安全的城墻，為政企機(jī)構(gòu)的網(wǎng)絡(luò)安全創(chuàng)造更大價(jià)值。同時(shí)，進(jìn)一步利用好這個(gè)平臺(tái)，充分挖掘社會(huì)存量網(wǎng)絡(luò)安全人才資源，加強(qiáng)對(duì)社會(huì)網(wǎng)絡(luò)安全人才的技能培訓(xùn)和正確引導(dǎo)，讓民間白帽群體為政企網(wǎng)絡(luò)安全發(fā)揮更大價(jià)值。