齐向东:补天致力于做最专业的漏洞响应平台

2021-09-17 17:40:29来源:威易网作者:锋云

 “今年是补天平台成立的第八年。八年来,补天致力于做最专业的漏洞响应平台,致力于做白帽子们最好的交流平台,致力于服务国家网络安全事业。”奇安信集团董事长齐向东在今天召开的第五届补天白帽大会上表示。

 “今年是补天平台成立的第八年。八年来,补天致力于做最专业的漏洞响应平台,致力于做白帽子们最好的交流平台,致力于服务国家网络安全事业。截至到今天,补天已经聚集起了8万多名白帽子,报告漏洞总数超60万,发放奖金1100多万,入驻企业6000多家,是国家信息安全漏洞库(CNNVD)和国家信息安全漏洞共享平台(CNVD)的优秀技术支撑单位,还入选了工信部网络安全技术应用试点示范项目。奇安信集团董事长齐向东在今天召开的第五届补天白帽大会上表示。

 \

 齐向东还说,今年也是奇安信第五次举办补天白帽大会。五年来,补天白帽大会持续吸引着国内外网络安全顶尖攻防人才,分享了近百个前沿攻防技术观点,线下观众超过5000人,成为了国内规模最大的白帽盛典。更重要的是,几乎每一年的白帽大会都会发布一项重磅服务。2016年的首届大会,奇安信推出了众测服务;2017年,推出公益服务;2018年,推出公益测试;2019年,推出五星计划,发布全品类通用漏洞奖励项目;2020年,推出补天红队,以攻促防,确保网络安全真正做到来之能战、战之能胜。
 
202191号,工信部、网信办、公安部三部门联合发布的《网络产品安全漏洞管理规定》正式实施,这是一件大事,和今天参会的每个人都息息相关。齐向东认为,这项规定至少起到了三个方面的激励作用。
 
第一,能激发网络产品提供商治理漏洞的积极性。规定第一次明确了漏洞的管理应该从网络安全产品视角出发。以往,产品出现漏洞,厂商习惯隐瞒漏洞、拒绝漏洞、否认漏洞,漏洞长时间得不到修补。随着数字化全面铺开,漏洞会越来越多,一旦被利用,会产生巨大的连锁反应。如果厂商像过去那样对漏洞视而不见,会让百姓、社会、国家置于巨大的危险当中。
 
漏洞管理规定正式实施后,捂盖子、掉链子的行为将成为过去式。规定要求厂商要积极承认、积极报告、积极修补漏洞。比如,发现或者得知产品存在安全漏洞后,要立即采取措施并对漏洞进行验证,评估漏洞的危害程度和影响范围;对属于上游产品或者组件存在的安全漏洞,要立即通知相关产品提供者。这些要求将推动厂商加大在漏洞管理上的投入,确保产品的漏洞在被利用之前,得到及时修补,保障用户权益,保障国家网络安全。
 
第二,能激发民间力量挖掘漏洞的积极性。过去,我们对漏洞挖掘这个行为,没有做出明确的指引。白帽黑客们百无禁忌,其中免不了有人会因为挖漏洞的方法不得当,而触犯法律。这种情况就好比在迷雾当中行走,不小心碰到了高压线,非常不利于民间白帽力量的成长。
 
漏洞管理规定将白帽的行为正当化、合法化,给白帽子提供了安全感。《规定》明确鼓励民间力量进行漏洞挖掘工作,给漏洞的发现、收集、发布等行为划定了红线,对于该做什么、不该做什么都做了清晰的规定。白帽子守住了这些红线,就能在合法合规的条件下发挥出最大的价值。同时,《规定》也鼓励厂家针对白帽子设立漏洞奖励机制,一些不具备漏洞挖掘能力的厂家,可以委托白帽子来帮助自己挖漏洞,让产品越来越健全。白帽子也能通过自己的一技之长获得相应的回报,从而形成良性循环,推动安全产业不断壮大。
 
第三,能激发漏洞平台成长的积极性。数字时代,厂商需要借助民间白帽的力量,形成更强的合力,来抵御不断向组织化、专业化发展的黑产。但是,海量的厂商和庞大的白帽群体之间建立稳定的联系非常难,即使建立了,维护的成本也很高。所以,一个专业高效的漏洞响应平台至关重要,能极大促进厂商和白帽之间的有效沟通,节省漏洞发现和修复成本,提高漏洞响应和处置效率。
 
漏洞管理规定的实施,为漏洞响应平台提供了一个健康的成长方向。根据规定,厂商要积极开通接受漏洞信息的渠道,这对平台的发展壮大起到了积极的引导作用,能进一步激发平台发展的主动性。补天一直致力于做最专业的漏洞响应平台,我们将根据规定要求,继续优化提升平台能力,对民间白帽进行正向引导,帮助厂商建设和运营符合要求的产品漏洞收集平台,守住漏洞这条最重要的安全防线。
 
齐向东强调,今年白帽大会的主题是“安全潮前看”,短短五个字包含了补天八年来对安全的执着和推动产业发展的担当。
 
这次白帽大会上, 《2021中国白帽子人才报告》同步发布,齐向东希望这份报告能为安全人才的培养提供科学的参考依据,引领更多人加入网络安全行业,让白帽群体不断扩大。
 
此外,大会还特别设置了补天繁星奖,评选出了8家最受欢迎的白帽团队和应急响应中心,将和最具价值白帽、最具贡献白帽等奖项一起颁发,共同见证这份属于白帽子的荣耀。
关键词:奇安信