特斯拉上海超级工厂监控系统遭入侵、骗子破解人脸识别系统虚开5亿发票、视频会议工具Zoom频曝安全漏洞……随着数字时代的加速到来,漏洞的危害性与日俱增。数据显示,平均每一千行代码中就存在着4-6个漏洞,而软件系统越复杂,漏洞就会越多。
发现和修补无处不在的安全漏洞,不仅需要企业的意识及行动,国家级漏洞管理平台的响应与担当,更需要广发民间技术力量的支撑与参与,发挥好白帽子群体和漏洞社会化第三方平台的价值。今年两会期间,全国政协委员,360集团创始人、董事长周鸿祎就提案呼吁为白帽黑客正名,提供一系列激励政策,吸引他们为网络强国建设做贡献。
3月31日, 由360集团举办的“盘今圆桌会”第1期正式召开,会议聚焦“白帽子职业规划与漏洞生态治理”,汇集了来自公安部第三研究所、西安交通大学苏州信息安全法学所、北京市朝阳区人民检察院、中国信息安全测评中心、中国信息安全法律大会专委会等机构多位专家学者献计献策。
360集团在会上发布了《白帽子安全漏洞挖掘与披露行为规范研究》和《安全漏洞生态治理的法治保障研究》两份报告,基于国内外现状,立足行业痛点,给出诸多设计构想,以推动行业生态建设。
漏洞生态治理需要民间力量 白帽黑客成“关键先生”
所谓“盘今”,就是要盘点当今网络安全法治建设现状,盘理当前法治实践的攸关问题,盘清未来我国安全法治实践的趋势与进路。据360集团副总裁、总法务顾问张伟介绍,“盘今”首期活动直切网络安全“人的因素”,可谓要害。
360集团副总裁、总法务顾问张伟
据了解,在新技术、新模式、新产业的推动下,数字经济迅速发展。但不能否认的是,网络安全问题也日益突出,并为社会平稳运行提出新的挑战。
“从研究角度上看,安全漏洞是网络空间系统构建的必然结果,缺陷是安全漏洞第一位的特质。”针对漏洞乱象和治理建议,公安部第三研究所信息安全法律研究中心主任、研究员黄道丽这样表示。
在黄道丽看来,“漏洞乱象”不仅与安全漏洞本身多重属性相关,还叠加、迭代着多重利益主体诉求、多重治理理念。因此,应建立以挖掘为起点的全周期,以发掘者、平台、厂商,直到监管为主体的治理架构,形成披露、限制与禁止的一般与例外规则和体系化的治理生态。
公安部第三研究所信息安全法律研究中心主任、研究员黄道丽
而根据《安全漏洞生态治理的法治保障研究》,由于漏洞披露在漏洞生命周期中处于“由暗转明”的特殊环节,因此应借助市场化的披露主体,收集、披露和修复,乃至实现漏洞利用,把漏洞披露作为顺理成章的治理抓手。
在漏洞披露这一“抓手环节”,白帽黑客的贡献巨大。360BugCloud是中国首家开源漏洞响应平台,自2019年上线以来,已收到了白帽黑客提交的大量开源高危漏洞,目前累计发放漏洞奖金超5000万,收录的开源通用组件高危严重漏洞占比98%,涉及政府、企业、事业等数百余家单位,覆盖能源、金融、交通、医疗、电信、教育众多关键行业领域,挽救了全球数亿的价值损失。
360安全大脑漏洞云负责人胡晓娜直言道,作为民间重要的网络安全力量,“白帽子”已经引起行业的重视,其在对抗黑客攻击、完善网络安全环境、提升互联网环境等方面,扮演着更加重要的角色。
也正如360集团法务中心总监孙艳玲所言,“白帽子个人与群体的存在有其必然性与合理性,如果说漏洞披露是生态治理中最敏捷的抓手,白帽子就是其间最活跃的要素。”
引导、规范、激励 专家为白帽黑客生态构建开“处方”
白帽子的合理存在构筑了网络安全的一道重要屏障,但需注意的是,网络空间也非法外之地,要通过规则构筑形成约束边界。
北京市朝阳区人民检察院检察官王爱强表示,刑法其实已经预留了相对自由的空间,白帽子应当,也可以做到对自己的手段和工具充分了解,确保知悉每一步的后果,自律其实就是最大的自由。
北京市朝阳区人民检察院检察官王爱强
在规则指引上,360集团所发布的《白帽子安全漏洞挖掘与披露行为规范研究》,则首次对白帽子行为的红线和蓝线进行了强调与划分,为白帽子的合法、合规发展提供了正向引导。
据中国信息安全测评中心助理研究员杨诗雨介绍,鉴于国内外漏洞治理的相关经验,发展国家、社会、企业等多平台“协同”机制,也将为白帽子等主体提供更广阔的发展空间。
中国信息安全测评中心助理研究员杨诗雨
而有关渗透测试的合法边界,360法律研究院资深研究员马可分析,物联网和人工智能等的发展,会导致渗透测试在进行授权模式建立过程中,不仅需考虑传统的资产测试与保护边界,还将不得不增加考虑人身安全等更为复杂的测试环境。加之,网络安全是个整体,你中有我,我中有他,通过对第三方漏洞平台,以及平台注册白帽子的一系列、多层次的资质认证、认可,最终形成白帽子和漏洞平台的信任机制,可能是一个值得关注和努力的正确方向。
规范和边界的探寻之外,激励制度和适度容忍空间的赋予同样推动着白帽子正向评价的形成。胡晓娜补充称,做好对“白帽子”群体的扶持和激励,提升整个行业白帽待遇,对构建良性的漏洞生态具有积极的作用。基于此,360集团不断通过多种渠道发声,希望建立可落地,可执行的漏洞标准和管理办法,对行业进行必要引导和规范,从而应对未来更加多元、复杂、严峻的网络空间安全风险。
今年两会期间,360集团创始人、董事长周鸿祎还带来了一份《关于网安特殊人才认定和激励政策的提案》。他建议,要采取特殊人才认定和激励政策,提高社会对这个群体的理解和认可,也增强他们对国家的认同感,激励他们为网络强国建设做贡献。
漏洞是个永恒的话题,而漏洞的发现更多要靠人来解决。因此,只有通过对白帽子的正向激励政策和负面行为限定评价,对行业进行必要引导和规范,才能应对未来更加多元、复杂、严峻的网络安全风险。