白帽子是什么?
提及白帽子,可能许多人不知所云。但是说到黑客,大家立马就会想到那些十指在键盘上翻飞,肆意的翻越防火墙获取信息,可以轻而易举的敲出一串代码让目标机器冒起一阵黑烟,掌握高超的计算机技术的黑衣人。
其实这并不是黑客的真实写照,有一类黑客会让你对黑客这个群体有全新的改观。他们以发现网站的程序漏洞为职业,在漏洞被利用前对漏洞进行修复。他们酷似网络世界中的游侠,被称呼为“白帽子”。
四月,i春秋SRC部落守卫者集结令的消息悄然在白帽子社群中传开,一时众多通过严格筛选的白帽子纷纷涌入同程某域名站进行渗透测试,在限制期限内提交的漏洞数量达之前月提交量的10倍,高危漏洞占比百分之六……
七月,i春秋SRC部落守卫者集结令再次发出,白帽子们又一次整装集结,向百度某域名站发起了新一轮次的渗透测试……
白帽子们为何频频有所行动?故事的序幕是这样拉开的:
7月27日,阿里安全峰会“培育信息时代的安全感”主题分论坛在国家会议中心圆满落幕。此次“培育信息时代的安全感”主题分论坛由永信至诚作为出品方、互联网安全志愿者联盟、支付宝安全课堂联合承办。
阿里安全峰会,是国内创办最早、规模最大、嘉宾阵容最强大、安全行业最权威的国际大型安全盛会之一。今年阿里安全峰会正式更名为“2017网络安全生态峰会”(简称ISS), 以“新安全,共担当”为主题,从如何维护网络安全、建设生态网络环境等多方面进行探讨,推动中国互联网事业的安全发展。ISS今年将共同探讨新型网络犯罪类型、解剖新型犯罪手段,让科技赋能社会治理,联动社会各行业、各领域,共同担当新业态下的网络安全责任。
i春秋学院作为网络安全人才培养的第一品牌,积极响应阿里峰会“新安全共担当”的号召,主办了“培育信息时代的安全感”分论坛,与众多网络安全专家、白帽子共聚一堂,启明星辰首席战略官潘柱廷、拉勾网市场总监王侠君、蚂蚁金服高级安全专家龙屠、i春秋运营副总监张雅驰、互联网安全志愿者联盟盟主魏鸿,共同出席本次分论坛,就信息时代安全感的培育、捍卫、安全人才的成长建设、网络安全法时代白帽子该如何安全成长等话题为大家带来精彩的议题分享,展开一系列思辨。
守备一方,白帽子在互联网中扮演重要角色
随着信息技术的发展与普及,网络安全领域对大众来说已不再神秘,越来越多的年轻人开始学习信息安全技术,并从事与之相关的网络安全工作,他们利用技术手段识别计算机系统或网络系统中的安全漏洞,然后把漏洞公之于众,或是提交给该网络系统的管理者,在系统被其他人恶意利用之前修补漏洞。他们更像是互联网中的清道夫,孜孜不倦的为互联网剔除威胁因素,从而维护网络的安全。
养家糊口,白帽子也需要生存安全
随着信息社会的快速发展,网络安全越来越受到国家和大众的重视,许多大学也纷纷建立信息安全专业。但是高校学历教育培养的网络安全人才只有寥寥几万人,远远跟不上网络安全需求。据统计,我国网络安全人才缺口达70万,每年递增1.5万。
在“培育信息时代的安全感”分论坛上,拉勾网运营总监王侠君说: “进入2016年后,To B类企业成为国内创投界的新宠。相应的,安全类与企业服务类成为了招聘需求增幅最大的行业。盘点2017年春季拉勾网数据,TOP10高薪行业中安全领域排名第6,平均薪资11.4K。安全类岗位城市分布呈现不均匀的态势,以一线城市居多,北京居首位。行业分布上看,移动互联网相关行业处于领跑地位。”
如履薄冰,白帽子的红线安全
6月1日,备受关注的《网络安全法》正式施行。作为我国第一部全面规范网络空间安全管理的基础性法律,它的施行,标志着我国网络安全从此有法可依,网络空间治理、网络信息传播秩序规范、网络犯罪惩治等即将翻开崭新的一页。但同时,《网络安全法》的正式实施也对白帽子产生了重要的影响。
白帽子修复网络漏洞的前提,是发现网络漏洞。而想要发现网络漏洞就必须进入某一网站,通过一定的技术手段进行扫描,而这个技术手段通常也会被恶意的黑客所利用。对自身发掘漏洞行为是否合法,如何合法的继续展开漏洞挖掘工作,是白帽子将要面临的一个重要问题。
蚂蚁金服高级安全专家龙屠在论坛中讲到:“安全教育和安全意识的培育不在于知识,而在于场景,离开了场景的教育等于形同虚设。”
建功立业,白帽子如何闯荡江湖
2016年9月,i春秋SRC部落应运而生。截止到今天,有50家国内外SRC加入了我们。在与各大SRC厂商多次合作的基础上,i春秋学院上线“SRC部落有信众测”业务,帮助白帽子规范操作,合理合法地处理发现的漏洞,助力企业快速排除漏洞安全隐患,提升自身的安全能力。
2017年4月,知名网络安全企业永信至诚旗下i春秋学院SRC部落联合同程SRC发布了首届G001提交任务,通过审核的精英白帽子,对同程SRC提供的目标域名进行渗透测试并提交漏洞。G001漏洞提交活动期间同程SRC收到的漏洞数量是之前月提交量的10倍,高危漏洞占比百分之六。
7月,i春秋学院SRC部落联合百度SRC推出“百度杯”漏洞寻缉计划,邀请经过严格筛选的精英白帽子对测试目标进行渗透测试和漏洞检测。
i春秋学院运营副总监张雅驰说道:“我们希望白帽子在我们平台学习,参与CTF比赛,通过SRC的渠道合理合法提交漏洞去进行技术实践,最后我们希望把这群白帽子输送到企业中去,为安全行业发展创造更大的价值。从而形成一个安全人才培育的闭环。同时,我们也在努力的引导白帽子对正当对的事物保持敬畏之心。很多时候并非白帽子想去作恶,而是他们并不清楚边界在何处。老虎和狗相比哪个更危险?老虎,但是每年因为狗死伤的人更多。”
心怀天下,众人力量凝聚星辰大海
飞速发展的互联网时代在为生活注入更多生命力与活力的同时,也在滋生着诸多网络安全风险。木马病毒、网络犯罪等严重冲击和威胁着个人、企业甚或是国家安全和社会公共利益。如何保障网络世界安全,共建网络生态环境成为当前互联网大数据时代必须解决的问题。各种网站的程序漏洞层出不穷,恶意黑客技术越来越隐蔽,也形成了对白帽子们新的挑战。
“紧张的网络安全态势令人堪忧,多样化的网络欺诈、网络犯罪肆虐网络,给社会大众带来了很多忧虑。我们希望获得广大白帽子群体的帮助与支持,把自身的能力投入到社会公益中来,向大众普及信息安全意识,为促进网络安全的发展,维护清朗网络空间贡献了自己的力量,为安全生态注入生命力……”互联网安全志愿者联盟盟主魏鸿如是说。
坚守底线,安全法时代如何安全成长
启明星辰首席战略官潘柱廷就白帽子如何安全成长的议题,做出了精彩的总结:“我们不得不承认,不得不认清当前这个严峻的现实。网络安全法以及一系列法规、条例,让打击坏人变得有法可依了。但是,同样也为安全研究人员,特别是安全白帽子,带来很多原来没有的、原来不清晰的红线。互联网安全领域也是一个江湖。江湖中,有“善恶对错”,也有“侠义恩怨”,也有“利弊得失”。那么白帽子怎样才能够安全地存在呢?江湖上做独行侠是一个很困难的事情,所以首先是寻找自己的部落、族群,而i春秋学院的SRC部落就是这样一个群落形态。其次,就是白帽子需要坚守底线,不要让自己因为穷困而会被黑产轻易的诱惑。”
笃志前行,培育信息时代的安全感
作为国内最大的信息安全在线教育平台,i春秋始终扎根于网络安全人才培养工作。以“培育信息时代的安全感”为使命,通过独创性的技术,凝聚、精炼中国互联网安全十多年的实践经验和理论系统,独创的人才培养模式,为社会精准、高效的输送具备实战能力的网络安全人才,获得了广大网络安全人才和广大企业的认同。
未来,i春秋将继续深度探索网络安全人才培养模式,为广大白帽子提供更多学习技术知识,锤炼技术能力的平台。与企业一起为维护网络安全贡献力量。