每經記者:嶽琦 每經實習記者:楊煜 每經編輯:文多
在網路安全產業快速發展的背景下,與惡意利用系統漏洞搞破壞的駭客相對,有一群“白帽子”正在快速發展。
何謂“白帽子”?奇安信集團副總裁、補天漏洞響應平臺負責人張卓在接受《每日經濟新聞》記者採訪時表示:“‘白帽子’基本都是走合法途徑去給企業報漏洞,不幹黑產相關的事。”
9月17日,“2021補天白帽大會”在京召開。會上,張卓表示,“增長”是白帽子行業發展的關鍵詞之一。“2018年補天漏洞平臺‘白帽子’數量(是)4萬人,僅僅三年,2021年增長到8。7萬人,另外,‘白帽子’人數增速也在不斷提升。”
根據9月1號正式實施的《網路產品安全漏洞管理規定》,“白帽子”一方面成為受到鼓勵的民間力量,另一方面也受到明確的約束與規定。那麼,該規定的出臺會給“白帽子”帶來哪些影響?
奇安信集團董事長齊向東表示:“過去我們對漏洞挖掘的行為沒有進行明確指引,‘白帽子’駭客百無禁忌。其中免不了有人會因為挖漏洞方法不得當觸犯法律,這種情況就相當於迷霧中行走,不小心碰到高壓線,非常不利於民間‘白帽子’的成長。漏洞管理規定將‘白帽子’的行為正當化、合法化,給‘白帽子’提供了安全感。”
同時,張卓也直言:“從‘白帽子’從業時間來看,整個行業還是一個新興產業;‘白帽子’並不是都是幹網路安全的,而是來自於各行各業,其中學生居多。”根據補天漏洞響應平臺釋出的《中國白帽人才能力與發展狀況調研報告》(以下簡稱調研報告),僅有約26。4%的“白帽子”來自專業的網路安全企業,學生群體佔比則高達36。7%,是“白帽子”人才的首要來源。
在張卓看來,未來“白帽子”已經有了成為正式職業的可能。
不過,目前國內第三方漏洞響應平臺施行的還是註冊制,如果“白帽子”職業化,註冊制是否要改成僱傭制?張卓對《每日經濟新聞》記者表示:“不一定,比如家政、廚師等職業都不完全是僱傭制,但是職業資質、考級、評級是有的。”
此外,調研報告顯示,“白帽子”發現安全漏洞後,有40。5%首選國內第三方漏洞響應平臺進行提交,CNVD/CNNVD等國家漏洞響應平臺排名第二,佔比為33。3%,約有17。6%的“白帽子”會首選向企業自建SRC(安全應急響應中心)或透過企業官方渠道進行提交。
張卓告訴記者,對“白帽子”來說,選擇平臺最關注兩點,一是獎金金額,二是平臺本身的知名度和可信度。“可信度是什麼意思?很多時候白帽子給企業報了個洞,企業就說這不是洞,但實際上它就是個洞,悄悄地修了,所以在信譽上是有問題的。第三方平臺是比較公允地去評價,不牽扯企業側的一些利益。”張卓介紹道。
張卓還表示,對企業來說,自建SRC成本較高,“第一要建平臺,第二要有維護的人、運營的人,有時候選擇第三方是個不錯的選擇”。
每日經濟新聞
