信息化觀察網(wǎng)

3月30日，補(bǔ)天白帽大會(huì)在深圳舉行。大會(huì)由補(bǔ)天漏洞響應(yīng)平臺主辦，指導(dǎo)單位包括國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國信息安全測評中心和國家信息技術(shù)安全研究中心。360互聯(lián)網(wǎng)安全中心、hacker one、 聯(lián)想SRC，百度SRC等30多家企業(yè)和機(jī)構(gòu)均派出代表參加。

據(jù)悉，這是國內(nèi)外知名白帽、技術(shù)精英、安全愛好者，與國內(nèi)網(wǎng)絡(luò)安全主管機(jī)構(gòu)、知名企業(yè)CISO首次齊聚一堂，共同解讀當(dāng)前網(wǎng)絡(luò)安全形勢和安全威脅。與會(huì)嘉賓一致認(rèn)為：調(diào)動(dòng)全社會(huì)白帽精英力量，建立企業(yè)與白帽子的協(xié)同機(jī)制，將有助于全方位解決網(wǎng)絡(luò)安全隱患，幫助企業(yè)和機(jī)構(gòu)共建更為安全可靠的網(wǎng)絡(luò)環(huán)境。

白帽子能力獲認(rèn)可 呼吁建立身份認(rèn)證體系

在本屆大會(huì)上，既有HackerOne、DEFCON以及補(bǔ)天平臺三大國內(nèi)外安全平臺負(fù)責(zé)人發(fā)表精彩的主題演講，又有華泰證券、攜程等知名企業(yè)帶來的典型案例分享。與會(huì)嘉賓圍繞“漏洞挖掘的法律邊界”、“技術(shù)快速成長分析”、“國內(nèi)外SRC領(lǐng)域現(xiàn)狀”、“身份認(rèn)證體系建設(shè)”、“國際合作機(jī)制建設(shè)”等五大熱點(diǎn)議題展開熱烈討論。

他們提出：在網(wǎng)絡(luò)安全領(lǐng)域，白帽子是一個(gè)特殊的群體，由于國內(nèi)沒有專門針對白帽子的相關(guān)政策，以致這個(gè)群體常常游走于法律邊緣。近年來興起的企業(yè)SRC模式，通過企業(yè)授權(quán)白帽子進(jìn)行漏洞挖掘，并根據(jù)漏洞的危害程度、影響范圍提供對應(yīng)的獎(jiǎng)金。這無疑給白帽子提供最好的安全保障。

本次補(bǔ)天白帽大會(huì)上，補(bǔ)天漏洞響應(yīng)平臺和廠商代表為白帽子優(yōu)秀代表頒獎(jiǎng)，白帽子的能力獲得充分認(rèn)可的同時(shí)，也給了廣大廠商吸引白帽子加盟的契機(jī)。

與會(huì)嘉賓還呼吁建立白帽子身份認(rèn)證體系，讓白帽子在法律法規(guī)的指引下，更有效率地挖掘漏洞，為維護(hù)網(wǎng)絡(luò)安全貢獻(xiàn)才智。

安全要“走出去” 國內(nèi)企業(yè)SRC探索國際眾測道路

此外，作為首個(gè)面向全球白帽和技術(shù)精英開放的、專注于漏洞響應(yīng)和防護(hù)的全球性安全行業(yè)大會(huì)，補(bǔ)天白帽大會(huì)還鼓勵(lì)與會(huì)企業(yè)SRC共同探索國際眾測道路。

這已經(jīng)不是360公司探索加強(qiáng)國際間協(xié)同合作，分享網(wǎng)絡(luò)安全領(lǐng)域最新技術(shù)研究成果、最新攻擊方式及漏洞防護(hù)技術(shù)的牛刀初試之舉。早在2015年舉行的世界黑客大會(huì)defcon上，來自360獨(dú)角獸團(tuán)隊(duì)（UnicornTeam）的五位中國安全研究人員的三個(gè)議題同時(shí)入選大會(huì)演講議題，它標(biāo)志著國內(nèi)安全攻防研究水平已經(jīng)受到世界安全行業(yè)的認(rèn)可，國內(nèi)白帽子已經(jīng)躋身世界“黑客”第一陣營。

今年RSA結(jié)束后，360企業(yè)安全集團(tuán)還組織了“RSA 2017產(chǎn)業(yè)與技術(shù)趨勢研討會(huì)”，邀請從RSA歸來的多位專家，分享他們在RSA上的所見所學(xué)所思。

凡此種種，都是360公司在促進(jìn)網(wǎng)絡(luò)安全跨行業(yè)和產(chǎn)業(yè)協(xié)同合作，應(yīng)對全球化的網(wǎng)絡(luò)攻擊方面做出的有益嘗試。

通過攻防實(shí)戰(zhàn)檢驗(yàn)安全 360對抗式演習(xí)發(fā)布

在大會(huì)上，補(bǔ)天漏洞響應(yīng)平臺還發(fā)布了《2016年網(wǎng)站泄漏個(gè)人信息形勢分析報(bào)告》（以下簡稱《報(bào)告》），《報(bào)告》指出，2016年補(bǔ)天平臺共收錄了可以導(dǎo)致個(gè)人信息泄露的網(wǎng)站漏洞359個(gè)，總計(jì)可能泄漏個(gè)人信息60.5億條。其中，共有20個(gè)網(wǎng)站漏洞可能泄漏5000萬條以上的個(gè)人信息，還有2個(gè)漏洞可能泄漏5億條以上的個(gè)人信息。雖然網(wǎng)站漏洞數(shù)量較去年有所下降，但單個(gè)漏洞的危害卻大大增加，比2015年增加了近三倍。

《報(bào)告》統(tǒng)計(jì)，在2016年可能泄露個(gè)人信息的漏洞中，高危漏洞數(shù)量占96.1%，中危占3.6%，低危占0.3%。由此可以看出，絕大多數(shù)的網(wǎng)站漏洞對于個(gè)人信息安全是“致命”的存在，一旦被不法分子利用，極有可能對用戶信息安全造成重大危害。

另外，360公司還發(fā)布了國內(nèi)首個(gè)通過攻防實(shí)戰(zhàn)來檢驗(yàn)有效性的安全服務(wù)——360對抗式演習(xí)，該服務(wù)以檢測并提升防御體系有效性為核心目的，通過紅藍(lán)紫三軍的真實(shí)對抗演習(xí)，從安全技術(shù)、安全管理和安全運(yùn)營等多個(gè)維度著手，發(fā)現(xiàn)企業(yè)安全防御能力的問題和缺陷，并提出切實(shí)可行的改進(jìn)思路和建議，幫助企業(yè)不斷完善安全體系建設(shè)，提升對抗新興威脅的能力。

作為國內(nèi)互聯(lián)網(wǎng)安全的領(lǐng)軍企業(yè)，360公司在去年的第四屆中國互聯(lián)網(wǎng)安全大會(huì)上就提出“協(xié)同聯(lián)動(dòng) 共建安全+命運(yùn)共同體”的呼吁，正如360公司董事長周鴻祎在會(huì)上所言：網(wǎng)絡(luò)威脅面前沒有幸存者，網(wǎng)絡(luò)安全也不應(yīng)該有旁觀者。360公司并沒有把這些理念和提議停留在口號層面，而是身體力行地做出了表率。

相信隨著此次補(bǔ)天白帽大會(huì)的成功舉辦，將有更多優(yōu)秀白帽子與國內(nèi)企業(yè)相互成就、共同提高。各級安全力量的協(xié)同聯(lián)動(dòng)將讓國內(nèi)網(wǎng)絡(luò)安全水平邁上新臺階。