近两年来,国内的漏洞检测与响应平台不断兴起。补天、乌云、先知、Sobug、漏洞盒子、漏洞银行……更不用说上百家互联网、IT等企业的自建SRC(安全应急响应中心)平台。

一方面是漏洞响应与众测服务的快速发展,而另一方面,这种模式和它的核心人员——白帽子,也面临着业内的一些置疑和误解。为此,安全牛本次访谈栏目,走访了补天漏洞平台负责人白健。从他的口中,得已了解这家目前国内最大的漏洞检测和响应平台,以及如何看待并引导这一新兴事物的方方面面。

个人简历

白健,补天平台负责人,毕业于西安交通大学。从业经历涉及面广泛,涉及IT运维、IDC、云计算、信息安全等多个领域,从2016年初开始负责补天平台相关工作。

一、补天是一家漏洞检测与响应平台

安全牛:请大致谈一下补天的基本情况?

白健:补天的实质是一个漏洞检测与响应平台,核心的工作有两类:一是做公有SRC,收集漏洞然后免费通知企业做响应。另一种是给没有力量建立专属SRC的企业,在补天的平台上建立企业自己的SRC,补天帮助企业运营。企业需要在平台上注册,并签署相关服务协议,授权白帽子进行测试。

所谓的漏洞检测是指渗透测试。这个领域可分为两种,一种是授权测试,一种是非授权测试。前者比较正规,后者容易产生争议。但非授权测试,白帽子的动机都是为了避免漏洞被黑产利用,这种检测与报告机制,有利于提升整个社会的安全意识。

补天平台目前的白帽子注册数量有3万多,收集的漏洞总数已经突破10万,发放了900多万的奖金,还有很多实物礼品和积分。这些漏洞涉及到2万多家企业,而在补天上实际注册的企业有4千多家,也就是说差不多有80%的企业,还没有正式开始为自己的漏洞问题做响应。

二、人才短缺催生众测市场

安全牛:众测这种模式是如何产生的呢?

白健:众测这种服务,国内与国外基本上是同时起步的。国外的一些众测平台的运营模式也与国内差不多,还有的平台只做精英性质的授权测试,白帽子数量很少,但水平很高,以承接本国政府和国防部门的渗透测试合同为主。

至于兴起的原因,我觉得首先是因为人才稀缺,目前在攻防两方面的人才体系上形成了一边倒的情况,大家都在教防护,攻击渗透方面的人才特别少。众测是被市场催生出的一种以互联网为基础的人才复用模式,互联网打破了地域限制,提高了效率,再加上不同的人可以从多个角度来思考,漏洞的发现率也提高了很多。

其次,我觉得还与白帽子群体的特性有关。白帽子一般都比较年轻单纯,崇尚自由与个性,不太愿意规规矩矩地打卡上班。而企业那边,即使真的招了一个渗透能力很强的人,大多时候也是闲着,企业更多的是需要做安全防护工作的人才。

另外,大型企业,特别是政府、国企,它的人才引进门槛是很高的,白帽子大多学历无法满足要求。有了众测之后,事情就变的简单多了,企业只需要采购服务,平台选拔认证白帽子之后,通过项目把大家集合在一起,各自发挥所长,共同完成项目。

我觉得是这些原因促成了众测模式的出现,也迎合了市场的需求。

三、黑白其实很分明

安全牛:虽然市场的确有需求,但很多企业对白帽子还是不太信任?

白健:说到这儿有一点值得强调一下,精英白帽子的身份其实已经很透明了,在各个平台都需要注册、登记,补天平台甚至还有实地面对面地接触与访谈,白帽子都是一群充满正义感的年轻人。

与此相反,做黑产的人是不敢把身份亮出来的。没有正义感的驱使,提交漏洞的奖金对他来说只是蝇头小利,跟黑产的回报相差太大。

因此,这两个群体还是分的很清楚的。所以我们要积极引导白帽子正向发展,用自己的力量为社会做贡献,同时还要打消外界对他们的误解,全社会都不要再另眼看待他们。

安全牛:那你如何看待乌云平台的关闭呢?

白健:我们对乌云平台并不是很了解,也只是从新闻报道了解了一些信息,所以没有办法评价。

我们注意到国外有些漏洞研究团队,会依据延期通报原则公开漏洞信息。它更多的是从科学研究或学术讨论的角度来出发做这个事情,并且没有追求商业利益。

实际上,我们也一直在思考漏洞收集的机制,我们认为作为漏洞平台,应该引导白帽子体现安全价值,帮助企业解决安全问题而不是追求商业利益。

四、众测市场的规模也就一两个亿

安全牛:依你的经验来看,目前众测市场的规模有多大?

白健:我没有作过这方面的具体调查,但从我们日常的运营来看,这个市场并不大。

国内目前比较知名的众测平台,除了360众测,还有Sobug、漏洞盒子、漏洞银行和先知等,但我们在项目中很少碰到这些平台,有可能是大家的客户群体不太一样。

360众测依托的是360企业安全,各方面做得很规范,所以在白帽子的筛选、认证、管控、资质和技术能力等方面容易得到大型客户的信任;而创业公司资源有限,不一定能达到大客户的要求,可能服务了一些小型客户。

国内众测的市场规模,估计一两个亿。中国的安全服务市场一年也就几十亿,而渗透测试在安服中大概占到10%,再具体到众测服务就更少了。

我们在这个领域并不排斥竞争对手,反而欢迎越来越多的人参与进来。一起来正向引导白帽子,把他们的力量发挥出来,走上正义的英雄之路,而不要被黑产的利益引诱,走上犯罪道路。所以,我们很欢迎更多的大公司进入这个领域,特别是有实力的,能保证持续投入和保证平台自身安全的大公司。

五、不以赢利为目的 社会价值很重要

安全牛:那也就意味着,补天并不是360企业安全的一个重要商业模式?

白健:补天从一开始就不是一个商业性的产物,老齐也明确对我说过不许补天赚钱的事。补天平台的目标是希望能够成为企业和白帽子的沟通桥梁,真正解决企业的漏洞响应等安全问题。

我们发现漏洞之后,会免费通知相关企业并给出修复建议。如果你免费服务企业,企业就会感谢你,我们确实是在身体力行地帮助企业,帮助他们解决漏洞这个非常现实的安全问题。这其实背后的逻辑,还是延续之前360做免费安全的理念。通过补天漏洞检测与响应平台,能够让全社会都更重视安全问题,让这个行业能健康良性发展。

当然,目前这个行业里还有很多事情亟待解决。比如一些重要部门或重点行业,需要更高级别的服务和更高级别的管控。这时,白帽子的技能、身份、背景、资格等都需要做认证和担保。我们最近就正在推动一个事情,可以说是白帽子的一种从业资格或认证。它属于精英性质的,一旦取得这个认证,就意味着可以在众测平台和政府的联合认可和监管下,可信、可控、合法的对重要系统实施渗透测试工作。

这将促进整个行业有序发展。我理解,让行业有序、生态健康,这才是补天平台之于集团的价值所在。

安全牛:据我了解,补天用于漏洞提交方面的奖金,相比有些大型互联网公司并不算很多,这是出于什么方面的考虑?

白健:其实对于白帽子的引导,除了奖金收入以外,我们更多的是想提升白帽子的正义感和荣誉感。比如我们会经常性的举办一些沙龙性质的活动,评选一些优秀的白帽子,对他的个人能力和突出贡献给予充分的肯定。

我们还邀请知名律师去做法律讲堂,普及法律知识;邀请资深安全专家,帮助白帽子做好职业发展规划,传导正确的价值观等等。补天所做的这些工作,实际上是在为整个社会做贡献,这也是补天的社会价值所在。

六、法律边界难于界定 动机是关键

安全牛:平台运营过程中会遇到哪些问题和困难?

白健:大多数问题主要表现在,企业对白帽子群体的不理解。比如在世纪佳缘事件之后,有些企业就试图模仿这个模式来问责白帽子。但实际上,即使是非授权测试的行为,是否构成犯罪也是有严格认定过程的。

据我们和法律专家以及检察机关人员的沟通,非授权测试行为是否为构成犯罪,不仅是考虑造成的后果,而且还要看测试人员的动机到底是想帮助企业解决问题,还是想获取不正当利益。

之前企业的安全负责人并不了解白帽子,甚至会误解成做黑产的黑客。但当我们把白帽子的真实情况告诉他,甚至把白帽子约过来面谈之后,企业就会打消顾虑,接受并信任这个群体。

因此我认为最需要做的是打消企业的顾虑,把白帽子和黑产人员区分开来。对此我们去年做了很多沟通工作,及时化解误会,目前为止没有发生任何一起法律纠纷。

七、中美文化的差异

安全牛:在去年,美国国防部五角大楼和美国陆军都先后实施了众测项目;相比国外,国内则要谨慎的多。你觉得两者的区别是在哪里呢?

白健:中美两国的众测环境的确不一样。我觉得西方政府,在它的社会文化里,对众测的接受度很高。不仅你说的五角大楼和美国陆军这些事情,一些漏洞平台甚至还会给白帽子提供渗透测试的培训资料。

但如果在国内提供网络攻击方法的案例或教学,则可能会涉嫌违法。比如有人接受你的培训之后做了违法的事情,那么教学机构是要负连带责任的。我想这更多的是文化和制度上的差异吧。

不过从另一个角度来看,我们的环境同时也倒逼我们对自己提出更高的要求。既然企业要求高,那就对白帽子的资格认证会更严格,身份会更加透明。反过来,通过认证的白帽子参与更高级别项目的机会会增多,个人品牌的影响力也会变大,这是一件既有名又有利的事。

我们的核心白帽子,如同伙伴和同事,通过各种活动和业务紧紧地联系在一起,于是我们会特别清楚他的个人情况,知根知底。反观国外的漏洞平台,它们无法做这些事情,只能通过第三方身份认证机构来做白帽子的背书。

安全牛:目前白帽子群体的大致构成是怎样的?

白健:数量方面,一大部分是已经在职的安全从业人员,包括甲方企业和乙方安全公司,以及其他一些研究机构的技术人员。还有一部分是安全的新兴力量,以学生为主,大约有30%至40%。

年龄方面,以95年左右出生的最多。这个领域主要是年轻人居多,一方面好学,另一方面精力也比较旺盛。而那些在安全领域有着5到8年工作经验的人,大多已经具备比较深的技术水平和研究能力。这时他往往就会去做一些更高层次的安全研究,追求更大的回报,包括个人的事业发展等。

八、补天白帽大会

安全牛:听说你们这个月底要在深圳举办白帽大会,谈谈这次会议的情况吧?

白健:补天白帽大会的出发点很简单,就是想为大家建立一个漏洞检测与响应方面的沟通平台。比如,企业的应用发生安全事件,可能是因为背后的业务逻辑出了问题,而非安全人员不负责任。而白帽子通知企业安全漏洞的动机,绝大多数是出于好意。

大会上午的议程主要为一些政策指导和企业案例分享,并且为优秀白帽子和企业颁奖,肯定白帽子的安全价值。下午则主要是安全技术以及各大SRC秀,为大家打造一场技术交流的盛会。大会的演讲嘉宾可以说企业安全技术人员与白帽子各一半,以达到攻防双方多多沟通,换位思考、共同提升的目的。

这次大会我们还联合了十几个SRC平台,如百度、联想、携程、京东、滴滴等,在大会上,这些SRC都会轮流上场亮相,介绍各自的特点和优势,招募和吸引白帽子。

安全牛:有点意思,众测平台居然邀请这么多SRC,并上场公开招募白帽子?

白健:是的。一般来说,白帽子是众测平台的资源,平台并不希望资源的分流,但我们现在鼓励大家一起参与,一起来鼓励和支持白帽子。这是因为补天平台坚持公益属性,我们把这种正向引导活动看作是公益活动,而360作为一个知名的互联网企业,也应该多承担一些社会责任。

另外,我们还特意邀请了美国知名的漏洞平台HackerOne,刚才我们说过的美国五角大楼的众测项目就是它承接的。同时,我们还邀请到了DEFCON全球协调人Jayson,并将在大会现场举办一个分论坛,”DEFCON专场”。大家知道,DEFCON象征着黑客文化(在国外“黑客”这个词并没有负面含义),我们想通过这种协同的机制加强与国外的交流,为国内引进一些国际性的黑客文化,让大家越来越了解这个群体,这样社会就会对这个群体更加的接受和包容,同时对人才的引导和培养也在逐渐跟上。

最后,我们想通过与国外的漏洞平台和安全组织的联系,摸索是否有可能在一些重大漏洞事件上建立互相通报的机制,以及在一些比较新的互联网领域,尝试引进国外的白帽子做测试。国内国外白帽子的思维模式和测试方法,还是有着一定的差异,通过合作,我们可以从更多的角度,更立体地分析和解决问题。