7月28日,ISC 2021 互联网安全大会的第二日,网络空间安全治理前沿峰会、云安全联盟CISO高峰论坛、数据安全与隐私保护战略峰会等在内的多场精彩的高峰会议和论坛继续就产业和技术发展展开了进一步研讨。与此同时,“ISC创新独角兽-沙盒大赛”和“HackingClub白帽峰会”2场特色活动也在28日正式举办。
在昨天的战略演讲中,360创始人、董事长周鸿祎提到,“360用了很多精力来深入研究全球最先进的攻击手法,而分析完攻击代码之后发现,所有的高水平的攻击都是依靠0Day漏洞发起的,攻击技术水平远超病毒木马等手段。漏洞的数量直接决定了网络攻击的水平,漏洞改变了大家对于传统网络攻击的认知,因为只要有漏洞在,敌人就可以利用你意想不到的漏洞,神不知鬼不觉的获取你电脑的控制权。”
网络安全漏洞是网络产品和服务在生命周期中无意或有意产生的,有可能被利用的缺陷或薄弱点。网络安全漏洞是大量网络安全事件、网络违法犯罪活动发生的罪魁祸首,即使是再严格的测试也无法根除网络安全漏洞。
不了解漏洞就不了解攻击也谈不上防御,因此在很多公司还不关注漏洞的时候,360就十分重视漏洞的研究工作,除了建立了一支强大的掌握世界级漏洞挖掘能力的漏洞研究团队外,还成立了360BugCloud开源漏洞响应平台和HackingClub安全技术社区,邀请白帽黑客、安全研究员入驻,广泛收集违背披露的安全漏洞,共同维护互联网安全生态。
在HackingClub白帽峰会现场,大会首先邀请到了信通院安全研究所网络安全响应中心副主任薛涛,为在场数百名白帽子们带来了关于最新发布的《网络产品安全漏洞管理规定》的解读和说明。这也是《规定》发布后,相关部门第一次在线下对相关条文进行解读。
网络安全漏洞是网络产品和服务在生命周期中无意或有意产生的,有可能被利用的缺陷或薄弱点。网络安全漏洞是大量网络安全事件、网络违法犯罪活动发生的罪魁祸首,即使是再严格的测试也无法根除网络安全漏洞。
不了解漏洞就不了解攻击也谈不上防御,因此在很多公司还不关注漏洞的时候,360就十分重视漏洞的研究工作,除了建立了一支强大的掌握世界级漏洞挖掘能力的漏洞研究团队外,还成立了360BugCloud开源漏洞响应平台和HackingClub安全技术社区,邀请白帽黑客、安全研究员入驻,广泛收集违背披露的安全漏洞,共同维护互联网安全生态。
在HackingClub白帽峰会现场,大会首先邀请到了信通院安全研究所网络安全响应中心副主任薛涛,为在场数百名白帽子们带来了关于最新发布的《网络产品安全漏洞管理规定》的解读和说明。这也是《规定》发布后,相关部门第一次在线下对相关条文进行解读。
薛涛针对白帽子们和SRC平台讨论最多的几点问题进行了针对性的回答。
首先第一个问题,使用第三方开源组件,导致出现漏洞需不需要进行通报?薛涛表示,这个问题的答案是肯定的,既然使用第三方的软件,实际上它就已经成为了你自己的网络产品中的一部分,因此出现了第三方的组件的漏洞,也视为你的自身网络产品漏洞,所以需要向主管单位进行通报。
第二,互联网企业自建的SRC安全应急响应中心算漏洞收集平台吗?薛涛认为这一个问题需要综合从两个方面看待,如果这个企业自建的SRC平台只收集自身产生的产品和服务的漏洞,那么就不被视为第三方漏洞收集平台。反之,如果企业SRC平台它在收集自身产品和服务的过程同时,它也开放了一个窗口,让大家来报送其他企业的产品和漏洞,这种情况下就应该将其视为第三方的漏洞收集平台,应该以此作为衡量的标准。
同时,他也再次为大家重申了《网络产品安全漏洞管理规定》第九条中的七个“不得”和一个“应当”,强调了白帽子的行为红线。
从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
(八)法律法规的其他相关规定。
薛涛表示,漏洞的发布将会被严格限制。尤其是在网络安全漏洞可以被视为一种“战略资产”的背景下,未公开的安全漏洞不得向境外组织和个人提供,避免用于威胁我国的网络安全。同时他建议广大白帽子们,严格按照《网络产品安全漏洞管理规定》为自己的行为边界划出红线,更充分地利用自己的网络安全技能,避免因为不知法、不守法让自己陷入违法甚至犯罪的窘境。
薛涛表示,漏洞的发布将会被严格限制。尤其是在网络安全漏洞可以被视为一种“战略资产”的背景下,未公开的安全漏洞不得向境外组织和个人提供,避免用于威胁我国的网络安全。同时他建议广大白帽子们,严格按照《网络产品安全漏洞管理规定》为自己的行为边界划出红线,更充分地利用自己的网络安全技能,避免因为不知法、不守法让自己陷入违法甚至犯罪的窘境。
在峰会上,360BugCloud开源漏洞响应平台高级研究员冯飞还现场还发布了《2021全球通用漏洞分析报告》,与场内嘉宾分享了漏洞发展趋势,为行业提供了参考。
冯飞介绍,2017年通用漏洞数量出现了爆发式的增长,同比2016年增长了近85%;2020 年漏洞数量同比增长 9%,按照此增长趋势预测,2021年漏洞将会继续增长,2021全年全球通用漏洞数量预计将突破两万大关。
在2021 全球通用漏洞分析报告中,还针对谷歌、微软、苹果三家公司历年来的漏洞赏金和理念爆发的漏洞数量进行了关联性分析,分析结果证明,漏洞赏金越高,漏洞赏金越多,其能够收录的漏洞数量就会越多,高危漏洞数 量也会越多,但是严重漏洞数量会逐步减少,或者在同比情况下出现负增长的情况。
冯飞介绍,2017年通用漏洞数量出现了爆发式的增长,同比2016年增长了近85%;2020 年漏洞数量同比增长 9%,按照此增长趋势预测,2021年漏洞将会继续增长,2021全年全球通用漏洞数量预计将突破两万大关。
在2021 全球通用漏洞分析报告中,还针对谷歌、微软、苹果三家公司历年来的漏洞赏金和理念爆发的漏洞数量进行了关联性分析,分析结果证明,漏洞赏金越高,漏洞赏金越多,其能够收录的漏洞数量就会越多,高危漏洞数 量也会越多,但是严重漏洞数量会逐步减少,或者在同比情况下出现负增长的情况。
冯飞最后还分享了报告中五点关于未来漏洞发展趋势的观点:
1、跨站脚本攻击漏洞已成黑客重点利用的漏洞,防范钓鱼攻击已拉响一级安全警报;
2、有人的地方就有江湖,有软件的地方就有漏洞,企业影响力越大,漏洞数量越多;
3、基础设施软件漏洞最多,漏洞威胁无人幸免;
4、规避供应链漏洞的影响,是一场长征;
5、企业对外建立漏洞应急响应渠道,是安全发展的必然趋势。
此外,据冯飞介绍,正式版的《2021 全球通用漏洞分析报告》将于ISC大会结束后正式发布,感兴趣的朋友可以关注ISC大会官方公众号,关注官方推送消息。
此外,据冯飞介绍,正式版的《2021 全球通用漏洞分析报告》将于ISC大会结束后正式发布,感兴趣的朋友可以关注ISC大会官方公众号,关注官方推送消息。