白帽汇赵武 | 引导得当的众测:功在当代,利在千秋

扫码订阅《中国信息安全》杂志

权威刊物 重要平台 关键渠道

邮发代号 2-786

北京白帽汇安全研究院负责人赵武5月19日在“今朝安全众测平台”启动运行发布会上发表演讲。
白帽汇在行业内是个专有名词,就是白帽子汇集的地方,我们把公司的安全研究院叫做白帽汇,意思是秉承白帽子的精神来开展安全研究。
关于众测,我想起十几年前有个平台叫ZDI,它采取付费的模式来征集漏洞,当时我感觉最顶级的漏洞全部聚集在ZDI平台。ZDI平台的拥有者或者发起者虽然本身技术能力很强,但也并没有收入那么多顶级漏洞的能力。以现在的眼光来看,ZDI应该是行业内最早的漏洞众测平台,甚至是一个超前的付费模式。
十几年过去了,在这十几年来我跟白帽子打交道的过程中,有两个感觉比较深刻。第一是众测模式不缺人才,但缺乏引导。现在漏洞越来越多,从事网络安全行业的人越来越多,引发了一个新的问题,就是不能乱测。什么是乱测?什么情况下能测,什么情况不能测?白帽子们对此很模糊,也很关心。以我和不下于1000个安全从业人员的交流经验,发现一个现象可以形容为“无处释放的荷尔蒙”,这是指在中国目前有大量的拥有安全研究能力的人才,但他们的研究能力并没有一个很好的释放空间。有些人因缘际会,走上了很好的道路,做出了顶尖的技术研究,做出了卓越的输出。但除此之外还有成千上万个具有这些能力的人,并没有很好的渠道去引导他们,那么他们有可能会从事黑产,有可能会把发现的漏洞给到一些不该给的对象。
第二个感受是,行业需要更加重视漏洞问题。当前国家层面高度重视自主创新、安全可控,因为我们在这些方面曾经偷过懒,今天我们急切地想把偷懒所造成的差距再补齐回来。很多国产化的厂商、平台正在大力研究、推广新的技术和产品,但这里就出现一个问题:企业即使通过自主创新把后门的问题解决了,但他没有办法彻底解决漏洞的问题,漏洞只会随着产品技术的发展越来越多。这是业界在推进国产化的同时,需要高度重视的问题。
谈完了怎么测,下面就是谁来测的问题。当前国产化厂商大部分都缺少安全测试能力,因为涉及到专业能力和人员成本,厂商不可能为此建立一个专门的团队来支持。安全是极其细分的一个领域,如果企业要依靠自身建立一个面面俱到的安全保障体系,难度非常大,成本非常高,为此投入的成本可能会超过所带来的收益。也就是说企业虽然很想要得到完善的安全服务,但是市场现有的安全能力,不管是自己建设的能力,还是安全厂商的能力,似乎都不足以发现全部的问题。例如近年来的攻防演练,0day漏洞被使用的越来越多,影响越来越大,很多0day漏洞还出自于一些知名企业,这就反映了安全能力的协同问题。
回到第一个关于引导的话题,中国从来不缺顶级的安全技术人员,只是有人不愿意把漏洞贡献出来,不愿意把技能贡献出来。为什么?我觉得这不是人才出了问题,而是缺少一个氛围,缺少一个平台。我们也有公开的漏洞平台的模式,比如国家层面的漏洞库CNNVD,这是免费收集的模式,当然还有Hackerone平台这种付费授权收集的模式。但我认为众测这个模式只是刚刚开始,因为以往很长一段时间,白帽子团队和甲方企业是不被互相认可的,企业认为白帽子是攻击者,白帽子认为企业不负责任,不正视安全漏洞。所以这十几年什么能测,什么不能测,很长一段时间没有标准答案。“今朝安全众测平台”这样一个正面的众测平台发布,改变了之前业界各自为政的做法。这是一个带有很强的积极引导作用的平台,一是引导企业能够正视安全问题,主动寻求安全帮助,以前的平台做不到这点;二是对前面提到的无处释放的荷尔蒙、嗷嗷待哺的白帽子群体,这也是他们一直寻求的释放能力的平台。
除了政策和资金的引导,我认为众测更多的不是一个纯技术的工作,技术当然非常重要,但众测更多的是运营的工作:如何把众测生态建立起来,如何把人吸引进来,把人培养起来,把人用起来,把人的价值创造能力聚集起来,这是未来很长一段时间要去做的事情。所以众测是个长期的工作,功在当代,利在千秋。我坚信只要在合理的引导之下,白帽子的能力会越来越强,具有家国情怀的人会越来越多,为行业、为国家所做的贡献也会越来越大。

(本文根据北京白帽汇安全研究院负责人赵武5月19日在“今朝安全众测平台”启动运行发布会上的讲话整理)

(0)

相关推荐