奇安信:学生是“白帽子”黑客的首要来源 未来职业化成为可能

    每日经济新闻 2021-09-17 19:42

    每经记者 岳琦    每经实习记者 杨煜    每经编辑 文多    

    在网络安全产业快速发展的背景下,与恶意利用系统漏洞搞破坏的骇客相对,有一群“白帽子”正在快速发展。

    何谓“白帽子”?奇安信集团副总裁、补天漏洞响应平台负责人张卓在接受《每日经济新闻》记者采访时表示:“‘白帽子’基本都是走合法途径去给企业报漏洞,不干黑产相关的事。”

    9月17日,“2021补天白帽大会”在京召开。会上,张卓表示,“增长”是白帽子行业发展的关键词之一。“2018年补天漏洞平台‘白帽子’数量(是)4万人,仅仅三年,2021年增长到8.7万人,另外,‘白帽子’人数增速也在不断提升。”

    根据9月1号正式实施的《网络产品安全漏洞管理规定》,“白帽子”一方面成为受到鼓励的民间力量,另一方面也受到明确的约束与规定。那么,该规定的出台会给“白帽子”带来哪些影响?

    奇安信集团董事长齐向东表示:“过去我们对漏洞挖掘的行为没有进行明确指引,‘白帽子’黑客百无禁忌。其中免不了有人会因为挖漏洞方法不得当触犯法律,这种情况就相当于迷雾中行走,不小心碰到高压线,非常不利于民间‘白帽子’的成长。漏洞管理规定将‘白帽子’的行为正当化、合法化,给‘白帽子’提供了安全感。”

    同时,张卓也直言:“从‘白帽子’从业时间来看,整个行业还是一个新兴产业;‘白帽子’并不是都是干网络安全的,而是来自于各行各业,其中学生居多。”根据补天漏洞响应平台发布的《中国白帽人才能力与发展状况调研报告》(以下简称调研报告),仅有约26.4%的“白帽子”来自专业的网络安全企业,学生群体占比则高达36.7%,是“白帽子”人才的首要来源。

    在张卓看来,未来“白帽子”已经有了成为正式职业的可能。

    不过,目前国内第三方漏洞响应平台施行的还是注册制,如果“白帽子”职业化,注册制是否要改成雇佣制?张卓对《每日经济新闻》记者表示:“不一定,比如家政、厨师等职业都不完全是雇佣制,但是职业资质、考级、评级是有的。”

    此外,调研报告显示,“白帽子”发现安全漏洞后,有40.5%首选国内第三方漏洞响应平台进行提交,CNVD/CNNVD等国家漏洞响应平台排名第二,占比为33.3%,约有17.6%的“白帽子”会首选向企业自建SRC(安全应急响应中心)或通过企业官方渠道进行提交。

    张卓告诉记者,对“白帽子”来说,选择平台最关注两点,一是奖金金额,二是平台本身的知名度和可信度。“可信度是什么意思?很多时候白帽子给企业报了个洞,企业就说这不是洞,但实际上它就是个洞,悄悄地修了,所以在信誉上是有问题的。第三方平台是比较公允地去评价,不牵扯企业侧的一些利益。”张卓介绍道。

    张卓还表示,对企业来说,自建SRC成本较高,“第一要建平台,第二要有维护的人、运营的人,有时候选择第三方是个不错的选择”。

    封面图片来源:摄图网

    版权声明

    1本文为《每日经济新闻》原创作品。

    2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。

    3版权合作电话:021-60900099。


    分享成功
    每日经济新闻客户端
    一款点开就不想离开的财经APP 免费下载体验