補天白帽大會:建企業與白帽協同機制,全方位解決網絡安全隱患
2017年3月30日,國內外知名白帽、技術精英、安全愛好者,與國內網絡安全主管機構、知名企業CISO因補天白帽大會在深圳首次齊聚一堂,共同解讀當前網絡安全形勢和安全威脅。
本屆大會由補天漏洞響應平臺主辦,指導單位包括國家網絡與信息安全信息通報中心、國家計算機網絡應急技術處理協調中心、中國信息安全測評中心和國家信息技術安全研究中心。360互聯網安全中心、hacker one、 聯想SRC,百度SRC等30多家企業和機構均派出代表參加。與會嘉賓一致認為:調動全社會白帽精英力量,建立企業與白帽子的協同機制,將有助于全方位解決網絡安全隱患,幫助企業和機構共建更為安全可靠的網絡環境。
360企業安全集團董事長 齊向東
白帽子能力獲認可 呼吁建立身份認證體系
在本屆大會上,既有HackerOne、DEFCON以及補天平臺三大國內外安全平臺負責人發表精彩的主題演講,又有華泰證券、攜程等知名企業帶來的典型案例分享。與會嘉賓圍繞“漏洞挖掘的法律邊界”、“技術快速成長分析”、“國內外SRC領域現狀”、“身份認證體系建設”、“國際合作機制建設”等五大熱點議題展開熱烈討論。
DEFCON Groups全球協調人 Jayson E Street
Hacker One COO Ning Wang(左) 補天平臺負責人 白健(右)
他們提出:在網絡安全領域,白帽子是一個特殊的群體,由于國內沒有專門針對白帽子的相關政策,以致這個群體常常游走于法律邊緣。近年來興起的企業SRC模式,通過企業授權白帽子進行漏洞挖掘,并根據漏洞的危害程度、影響范圍提供對應的獎金。這無疑給白帽子提供最好的安全保障。
本次補天白帽大會上,補天漏洞響應平臺和廠商代表為白帽子優秀代表頒獎,白帽子的能力獲得充分認可的同時,也給了廣大廠商吸引白帽子加盟的契機。
與會嘉賓還呼吁建立白帽子身份認證體系,讓白帽子在法律法規的指引下,更有效率地挖掘漏洞,為維護網絡安全貢獻才智。
安全要“走出去” 國內企業SRC探索國際眾測道路
此外,作為首個面向全球白帽和技術精英開放的、專注于漏洞響應和防護的全球性安全行業大會,補天白帽大會還鼓勵與會企業SRC共同探索國際眾測道路。
這已經不是360公司探索加強國際間協同合作,分享網絡安全領域最新技術研究成果、最新攻擊方式及漏洞防護技術的牛刀初試之舉。早在2015年舉行的世界黑客大會defcon上,來自360獨角獸團隊(UnicornTeam)的五位中國安全研究人員的三個議題同時入選大會演講議題,它標志著國內安全攻防研究水平已經受到世界安全行業的認可,國內白帽子已經躋身世界“黑客”第一陣營。
360公司首席安全官 譚曉生
今年RSA結束后,360企業安全集團還組織了“RSA 2017產業與技術趨勢研討會”,邀請從RSA歸來的多位專家,分享他們在RSA上的所見所學所思。
凡此種種,都是360公司在促進網絡安全跨行業和產業協同合作,應對全球化的網絡攻擊方面做出的有益嘗試。
通過攻防實戰檢驗安全 360對抗式演習發布
在大會上,補天漏洞響應平臺還發布了《2016年網站泄漏個人信息形勢分析報告》(以下簡稱《報告》),《報告》指出,2016年補天平臺共收錄了可以導致個人信息泄露的網站漏洞359個,總計可能泄漏個人信息60.5億條。其中,共有20個網站漏洞可能泄漏5000萬條以上的個人信息,還有2個漏洞可能泄漏5億條以上的個人信息。雖然網站漏洞數量較去年有所下降,但單個漏洞的危害卻大大增加,比2015年增加了近三倍。
《報告》統計,在2016年可能泄露個人信息的漏洞中,高危漏洞數量占96.1%,中危占3.6%,低危占0.3%。由此可以看出,絕大多數的網站漏洞對于個人信息安全是“致命”的存在,一旦被不法分子利用,極有可能對用戶信息安全造成重大危害。
另外,360公司還發布了國內首個通過攻防實戰來檢驗有效性的安全服務——360對抗式演習,該服務以檢測并提升防御體系有效性為核心目的,通過紅藍紫三軍的真實對抗演習,從安全技術、安全管理和安全運營等多個維度著手,發現企業安全防御能力的問題和缺陷,并提出切實可行的改進思路和建議,幫助企業不斷完善安全體系建設,提升對抗新興威脅的能力。
現場黑客破解體驗
大會現場設置了一些黑客的破解體驗活動,其中包括網絡透明人、黑客改號體驗、人臉識別破解。可惜因為要聽演講,記者日程安排太滿,沒能好好體驗一下。
網絡透明人主要是指體驗者將自己帶有“閃付”功能的銀行可或者裝有銀行卡的錢防盜讀卡器上,個人信息以及近期交易記錄經過處理后將會出現在大屏幕上。而黑客改號體驗,是指將自己手機號輸入在大屏幕上,并輸入想要修改成的號碼,如110,點擊確定。體驗者將使用自己的手機撥打演示手機187XXXX7801.演示手機即會響鈴,屏幕上會顯示修改后的手機號碼。
人臉識別破解是在2017年的3.15晚會上被首次曝光。體驗者對著鏡頭站在指定區域,鏡頭會給體驗者拍一張靜態照片,經過一系列技術處理,屏幕上的靜態照片就會動起來并且在設備商建立3D臉模。用戶自己可以選擇登入自己人臉登陸的系統,使用動態照片登錄或建立的3D臉模進行破解。
作為國內互聯網安全的領軍企業,360公司在去年的第四屆中國互聯網安全大會上就提出“協同聯動 共建安全+命運共同體”的呼吁,正如360公司董事長周鴻祎在會上所言:網絡威脅面前沒有幸存者,網絡安全也不應該有旁觀者。360公司并沒有把這些理念和提議停留在口號層面,而是身體力行地做出了表率。
相信隨著此次補天白帽大會的成功舉辦,將有更多優秀白帽子與國內企業相互成就、共同提高。各級安全力量的協同聯動將讓國內網絡安全水平邁上新臺階。
