众安天下301:尝试为白帽子带来更多的安全感

首页 / 业界 / 人物 /  正文
来源:安全419
发布于:2020-11-23
“白帽子群体是一个江湖,他们需要生存和成长,也更需要得到社会的认可;众测这门生意有不少人都在做,尽管存在即合理,但它却一直存在着极大的争议你知道吗?——'众测'这种商业模式其实是躺在投资人的黑名单里面的”。作为国内白帽子群体代表性人物和众安天下(一家以众测作为核心业务的公司)的创始人杨蔚(花名“301”,以下简称301)对安全419(anquan419.com)的记者讲道。



 
白帽子的困境

作为国内知名白帽子,在经历了乌云事件之后,301似乎在行业里面低调了很多。在沉寂了数年之后,他想与我们分享一下自己多年来的一些心路历程,事实上,这也可能是他近几年来第一次正式的与媒体谈心。

在301看来,环境在变,白帽子们也在改变。

他回忆到,在国内SRC机制还不太健全的时候,大多数企业并没有人专门负责对接白帽子。彼时,白帽子们挖洞的初衷十分简单纯粹,多是出于兴趣爱好或是在小圈子中与同伴之间相互切磋比拼,追求的更多是一种精神上的满足感。由于早期相应的漏洞奖励机制并不完善,白帽子们在向企业提交漏洞后,哪怕企业只是寄送过来一些作为答谢的小礼物和公仔也会特别高兴,因为这代表着对他们自身劳动价值和能力的认可。

渐渐地,白帽子和企业之间达成了一种微妙的联系和默契——白帽子帮助企业发现安全漏洞和威胁,维护企业业务运行的稳定,而企业则回馈给白帽子物质和精神方面的奖励。不过随着时间的推移,整个环境也在发生着变化,各家SRC平台开始逐渐形成一套标准化的漏洞激励体系,将白帽子的工作成果与相应的标准一一对应发放奖励,这也使得白帽子工作逐渐从实现个人价值认可驱动,变成了一种由漏洞赏金驱动的商业化行为。换句话说,一些白帽子的挖洞动机发生了改变。

301把白帽子的挖洞动机分为四个层面,物质、精神、社交和成长。获取金钱回报、得到荣誉感和自我满足感、拓展朋友圈子和交流技术得到提高成长都是白帽子的核心诉求,“但如果这些诉求要分个主次的话,在我看来应该是成长>社交>精神>物质这样的一个顺序”,可随着市场的变化,这个顺序好像刚好反过来了。

在这样的环境下,白帽子挖洞这件事究竟是为了物质回报还是为了成就感这个话题,在这个群体中一直争论不休。就拿前阵子某白帽组织与某SRC发生冲突一事来讲,301认为其实这里面或许并没有绝对的谁对谁错,在他看来,商业化的漏洞评价机制和赏金标准正是本次白帽群体与SRC平台争端的源头。

当前现实中的情况是,当白帽子提交漏洞时,SRC平台会站在业务的角度,根据该漏洞的类型以及影响范围来对其进行综合的评估定级。那么问题来了,当白帽子以攻击者的视角看待问题时,每一个漏洞的价值往往会被悄然放大,这显然会和SRC的视角发生了一定的冲突。这种立场和视角上的偏差,导致双方对漏洞价值评判标准出现了分歧,当分歧不断产生时,这种矛盾就会渐渐聚积,并在某次严重的分歧中,导致两方发生激烈的冲突。

对于301而言,他认为这其实只是技术层面各自认知不同的问题而已,还并非是当下现实中白帽子群体面临的最大问题。

当前互联网上存在着大量年轻的安全技术爱好者,他们并未接受过系统的专业培训,对国家法律法规的了解也少之又少,完全出于兴趣爱好在未经授权的情况下擅自对网络环境进行攻击检测、漏洞挖掘,这种做法让企业又爱又恨,也直接导致大量的甲方对白帽群体带有偏见,甚至是不理解。

由于当前国内盛行的众测服务准入门槛低,一直以来处在野蛮成长的状态,因此很难对参与众测的人员形成规范化的有效管理体系,在法律层面也缺乏相应的政策法规约束,这就导致了众测模式一直以来都很难真正解决白帽子和企业之间的信任问题。这个问题所带来的直接后果就是——白帽子群体存在因为提交漏洞而承担极大的法律风险的可能,众测模式因此隐患重重,备受争议。

作为一名资深白帽子,301对于白帽子的生存现状表示其实并不是十分乐观。
 
行业需求井喷 谁来满足需求?

我们可以看到近年来行业需求呈井喷的趋势——政府、央企以及公用事业单位遭受网络安全攻击次数持续增长,潜在安全风险也急剧上升。为了提升政府和关键基础设施所覆盖行业对安全的重视,公安部将“净网行动”“HW行动”这两大行动作为了常态化措施,用以检验国家关键信息基础设施单位的安全工作是否到位。在这样的背景下,国内网络安全行业的各大厂商都在网络安全服务业务上面加码,提高投入的力度,也纷纷推出了安全众测业务。

与此同时,一个现实的问题摆在了大家的面前——据赛迪研究院发布的《2019中国网络安全发展白皮书》数据表明,截止2020年,中国网络安全人才需求量将达到160万人,而与之匹配的是每年网络安全专业生人数仅为1万人,远远达不到产业需求!

“搞安全的人,首先要保证自己的安全。”301说道。“就像过马路时如果看到一个老人倒在地上,很多人不敢施以援手,他们或许并不是没有爱心,而是担心被倒打一耙。再比如发现邻居家门锁坏了可以轻易进去,如果好心告知的话,邻居很可能就会疑神疑鬼的认为你另有所图。多数情况下,如果主动发现一个漏洞后通知企业相关的信息时,对方都会怀疑,是不是想要钱? 因此很多时候,白帽子很难得到认同和理解。”

也正是因为这样,出于风险因素考虑,民间的很多白帽子群体都选择了隐匿,或者说即使他们完全有足够的技术能力,也不再敢做一些他们认为对人们有帮助的事情,这在301看来,是一种巨大的行业资源浪费。“我始终坚信高手在民间,如果能够让这些白帽子发挥他们的价值,这对于中国网络安全整体实力的提升都具有巨大的意义!”301表示。


让白帽子在阳光下做事

“乌云事件”其实对于301而言,有着深刻的意义,让这么一位资深白帽不得不从只关注攻防技术本身,转而关注整个群体生存、发展的问题。在301看来,一方面他自身就是白帽群体的一员,多年的坎坷让他觉得有必要改变外界对白帽子群体的所有偏见;用更合理的方式去给企业及监管机构提供安全能力价值输出;另外一方面,他也觉得有责任为这个行业做一些事情,并改变白帽子在行业的生存环境,为业界做出更多有价值的贡献。“我们一直在试图与广大白帽群体一起探索出一条足以安身立命的生存方式,这也是成立众安天下的初衷”,301说道。

怎样才能让民间的白帽子行走在阳光之下,光明正大的发挥他们的价值?如何在职业规划、成长瓶颈等方面给予白帽子们支撑,为大家解决后顾之忧?这条路,301和同行们摸索了很多年。

今年10月,由国家互联网应急中心(CNCERT)牵头,众安天下与阿里云、奇安信、斗象科技、天融信、恒安嘉新等安全企业的联合起草和超过2年推动下,我国首个网络安全众测标准得以正式运行。标准对网络安全众测平台的业务流程、功能要求和安全要求给出了明确的标准和指导,而众安天下也率先推出了首个实现在线电子签约的安全服务平台。


“在监管政策标准出台之前,我们处在一个摸着石头过河的状态,因为没有法规政策的支撑,为求稳妥和保护白帽子们,众安天下此前坚持只在一定范围内组织彼此间有着长期信任基础的核心白帽子们开展小型的众测活动。”301说,“这个标准出台的意义非常重大,它将可以指导改变此前的一些工作方式,让我们可以安心的在这个框架下制定未来的发展方向。我一直期待着这一天的到来。”
 
为白帽子群体规划一个更好的未来

就在近日,低调多年的301有了新动作。众安天下在本周发布了一个全新的新一代SaaS安全服务平台——AllSec安全服务平台。平台从合规授权、服务可控、众测管理机制等方面出发,提出了更安全,更具公信力的众测服务模式,为白帽子和企业安全运营者搭建起了一个安全有效的连接桥梁。经过不懈努力,众安天下团队已经将安全众测实战应用于央企、金融、能源、医疗、政务云、大数据、物联网等行业领域,同时未来也准备联合社区及团队的力量给更多企业及监管机构创造更大的安全价值。

“为了解决白帽子的信任问题,我们在平台中引入了电子身份认证,这也是不同于其他平台要求入驻白帽子勾选用户须知和同意选项的简单做法,AllSec安全服务平台入驻的白帽子除了需要在线签约外,在参与实际项目时还需要真正在线下签署明确甲乙方框架的合作协议,一方面严格审核白帽子的身份,另一方面平台会为每位参与众测服务的白帽子提供信用和身份担保。”

为了进一步保证白帽子的稳定性和可靠性,进而保证服务质量,平台还会严格把关注册门槛。在AllSec安全服务平台,一个新白帽子的加入只能通过两种方式——一是获取老牌白帽子对其的实力认可,通过证明自己的技术实力以从老牌白帽子手中直接得到邀请码;二是平台设计了考验技术水平的黑客游戏,只有通过平台方严苛的重重技术考验和身份核验之后,一位白帽子才能得到加入平台的机会。

而相应的,除了对白帽子有着严格的要求之外,AllSec安全服务平台的漏洞评级标准规则也会力求客观、公正,依据多维度来评价漏洞风险,也为前文所述的白帽子群体和企业之间对漏洞等级评定不统一而产生的矛盾提供了解决方案,帮助白帽子合理的评级诉求也会得到公正的结果。

301认为,SaaS化的AllSec安全服务平台,可以不受地域、时间限制、不受安全专家资源限制,能够更灵活的制定项目要求规则,更好的服务于企业机构。特别是在疫情还未完全过去的当前,这种模式将更加灵活地满足客户需求。

他坚信,通过安全技术的力量可以温暖整个行业,通过健康有效的运营机制,赋能于安全生态,从而可以帮助更多怀揣安全梦想的白帽子。

同时,301表示建立这样一个行业性的平台不仅能够规范白帽子和市场,解决企业和白帽子的互信问题,也能够为年轻的白帽子打造一个更加良性的成长环境——在现实中,白帽子的学习机会和锻炼机会是存在阶级问题的,就像游戏中那样,不同级别的玩家应该要匹配相应的段位,不能一概而论的将不同级别的白帽子放到同样难度的比赛池中,这既影响高端玩家的“游戏体验”,也很难让“初级玩家”得到成长和锻炼的机会。

在谈到关于白帽子成长的这个话题时,301还提到:“当前白帽子普遍年龄不大,90后甚至00后已经是白帽子的主力。这其中固然有不少的高手存在,但更多的还是入门级的初学者”。另外,白帽子群体是在持续迭代的,从事白帽子工作的人员整体流动很快,他们到了一定年龄后大多都不会再从事一线工作,而是选择转向幕后带队伍了。因此,新生代的白帽子群体迫切的需要技术成长的环境和平台,在实践中快速成长。”

面对这一问题,301和他的众安天下是怎么应对的呢?——答案就是进一步的营造一个适合的环境。AllSec安全服务平台下一步会以测试项目的形式集成新手区靶场,自动为新手白帽子们匹配下发相应难度级别和复杂度的测试项目,为大家提供学习成长的机会和收益,让每名白帽子都能在这里找到实践自身能力的土壤。在301看来,就整个行业而言,要想凭借一个人或是一家企业来解决白帽子们和更多网络安全人才发展的根本问题是不可能的,于是,众安天下正在通过先尝试影响一小部分白帽子,再来试着帮助更多白帽子的方式来试图先找到一条光明的道路。
 
后记:

从一名知名白帽到一名企业负责人的转型道路中,除了看到301在对行业认知层面的升级和与之对应的改变之外,我们更多看到的或许是一名白帽子所肩负的社会责任,在交谈的过程中,301不止一次地提出,白帽子其实是一个很热血的群体,他们渴望进步,也渴望帮助别人。

无论是白帽之于个人,还是众测之于企业,这条路并非一帆风顺,但他们一直在努力尝试做出一些事情来改变现状,帮助更多的白帽子走得更远。就像301最后跟我们说的:“我们看到在这个行业里,服务于安全研究团队的创业融资、行业猎头等机构正在不断涌现出来,这些都证明了整个安全行业的价值正在被发现。同时,在各家企业和SRC的努力之下,白帽群体也在不断变大,所有的这些改变,终有一天会改变产业的环境。”