2017年3月30日，國(guó)內(nèi)外知名白帽、技術(shù)精英、安全愛(ài)好者，與國(guó)內(nèi)網(wǎng)絡(luò)安全主管機(jī)構(gòu)、知名企業(yè)CISO因補(bǔ)天白帽大會(huì)在深圳首次齊聚一堂，共同解讀當(dāng)前網(wǎng)絡(luò)安全形勢(shì)和安全威脅。

本屆大會(huì)由補(bǔ)天漏洞響應(yīng)平臺(tái)主辦，指導(dǎo)單位包括國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國(guó)信息安全測(cè)評(píng)中心和國(guó)家信息技術(shù)安全研究中心。360互聯(lián)網(wǎng)安全中心、hacker one、 聯(lián)想SRC，百度SRC等30多家企業(yè)和機(jī)構(gòu)均派出代表參加。與會(huì)嘉賓一致認(rèn)為：調(diào)動(dòng)全社會(huì)白帽精英力量，建立企業(yè)與白帽子的協(xié)同機(jī)制，將有助于全方位解決網(wǎng)絡(luò)安全隱患，幫助企業(yè)和機(jī)構(gòu)共建更為安全可靠的網(wǎng)絡(luò)環(huán)境。

360企業(yè)安全集團(tuán)董事長(zhǎng) 齊向東

白帽子能力獲認(rèn)可 呼吁建立身份認(rèn)證體系

在本屆大會(huì)上，既有HackerOne、DEFCON以及補(bǔ)天平臺(tái)三大國(guó)內(nèi)外安全平臺(tái)負(fù)責(zé)人發(fā)表精彩的主題演講，又有華泰證券、攜程等知名企業(yè)帶來(lái)的典型案例分享。與會(huì)嘉賓圍繞“漏洞挖掘的法律邊界”、“技術(shù)快速成長(zhǎng)分析”、“國(guó)內(nèi)外SRC領(lǐng)域現(xiàn)狀”、“身份認(rèn)證體系建設(shè)”、“國(guó)際合作機(jī)制建設(shè)”等五大熱點(diǎn)議題展開(kāi)熱烈討論。

[[187188]]

DEFCON Groups全球協(xié)調(diào)人 Jayson E Street

Hacker One COO Ning Wang（左）  補(bǔ)天平臺(tái)負(fù)責(zé)人 白健（右）

他們提出：在網(wǎng)絡(luò)安全領(lǐng)域，白帽子是一個(gè)特殊的群體，由于國(guó)內(nèi)沒(méi)有專門(mén)針對(duì)白帽子的相關(guān)政策，以致這個(gè)群體常常游走于法律邊緣。近年來(lái)興起的企業(yè)SRC模式，通過(guò)企業(yè)授權(quán)白帽子進(jìn)行漏洞挖掘，并根據(jù)漏洞的危害程度、影響范圍提供對(duì)應(yīng)的獎(jiǎng)金。這無(wú)疑給白帽子提供最好的安全保障。

本次補(bǔ)天白帽大會(huì)上，補(bǔ)天漏洞響應(yīng)平臺(tái)和廠商代表為白帽子優(yōu)秀代表頒獎(jiǎng)，白帽子的能力獲得充分認(rèn)可的同時(shí)，也給了廣大廠商吸引白帽子加盟的契機(jī)。

與會(huì)嘉賓還呼吁建立白帽子身份認(rèn)證體系，讓白帽子在法律法規(guī)的指引下，更有效率地挖掘漏洞，為維護(hù)網(wǎng)絡(luò)安全貢獻(xiàn)才智。

安全要“走出去” 國(guó)內(nèi)企業(yè)SRC探索國(guó)際眾測(cè)道路

此外，作為首個(gè)面向全球白帽和技術(shù)精英開(kāi)放的、專注于漏洞響應(yīng)和防護(hù)的全球性安全行業(yè)大會(huì)，補(bǔ)天白帽大會(huì)還鼓勵(lì)與會(huì)企業(yè)SRC共同探索國(guó)際眾測(cè)道路。

這已經(jīng)不是360公司探索加強(qiáng)國(guó)際間協(xié)同合作，分享網(wǎng)絡(luò)安全領(lǐng)域最新技術(shù)研究成果、最新攻擊方式及漏洞防護(hù)技術(shù)的牛刀初試之舉。早在2015年舉行的世界黑客大會(huì)defcon上，來(lái)自360獨(dú)角獸團(tuán)隊(duì)(UnicornTeam)的五位中國(guó)安全研究人員的三個(gè)議題同時(shí)入選大會(huì)演講議題，它標(biāo)志著國(guó)內(nèi)安全攻防研究水平已經(jīng)受到世界安全行業(yè)的認(rèn)可，國(guó)內(nèi)白帽子已經(jīng)躋身世界“黑客”第一陣營(yíng)。

[[187189]]

360公司首席安全官 譚曉生

今年RSA結(jié)束后，360企業(yè)安全集團(tuán)還組織了“RSA 2017產(chǎn)業(yè)與技術(shù)趨勢(shì)研討會(huì)”，邀請(qǐng)從RSA歸來(lái)的多位專家，分享他們?cè)赗SA上的所見(jiàn)所學(xué)所思。

凡此種種，都是360公司在促進(jìn)網(wǎng)絡(luò)安全跨行業(yè)和產(chǎn)業(yè)協(xié)同合作，應(yīng)對(duì)全球化的網(wǎng)絡(luò)攻擊方面做出的有益嘗試。

通過(guò)攻防實(shí)戰(zhàn)檢驗(yàn)安全 360對(duì)抗式演習(xí)發(fā)布

在大會(huì)上，補(bǔ)天漏洞響應(yīng)平臺(tái)還發(fā)布了《2016年網(wǎng)站泄漏個(gè)人信息形勢(shì)分析報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)，《報(bào)告》指出，2016年補(bǔ)天平臺(tái)共收錄了可以導(dǎo)致個(gè)人信息泄露的網(wǎng)站漏洞359個(gè)，總計(jì)可能泄漏個(gè)人信息60.5億條。其中，共有20個(gè)網(wǎng)站漏洞可能泄漏5000萬(wàn)條以上的個(gè)人信息，還有2個(gè)漏洞可能泄漏5億條以上的個(gè)人信息。雖然網(wǎng)站漏洞數(shù)量較去年有所下降，但單個(gè)漏洞的危害卻大大增加，比2015年增加了近三倍。

《報(bào)告》統(tǒng)計(jì)，在2016年可能泄露個(gè)人信息的漏洞中，高危漏洞數(shù)量占96.1%，中危占3.6%，低危占0.3%。由此可以看出，絕大多數(shù)的網(wǎng)站漏洞對(duì)于個(gè)人信息安全是“致命”的存在，一旦被不法分子利用，極有可能對(duì)用戶信息安全造成重大危害。

另外，360公司還發(fā)布了國(guó)內(nèi)首個(gè)通過(guò)攻防實(shí)戰(zhàn)來(lái)檢驗(yàn)有效性的安全服務(wù)——360對(duì)抗式演習(xí)，該服務(wù)以檢測(cè)并提升防御體系有效性為核心目的，通過(guò)紅藍(lán)紫三軍的真實(shí)對(duì)抗演習(xí)，從安全技術(shù)、安全管理和安全運(yùn)營(yíng)等多個(gè)維度著手，發(fā)現(xiàn)企業(yè)安全防御能力的問(wèn)題和缺陷，并提出切實(shí)可行的改進(jìn)思路和建議，幫助企業(yè)不斷完善安全體系建設(shè)，提升對(duì)抗新興威脅的能力。​

現(xiàn)場(chǎng)黑客破解體驗(yàn)

大會(huì)現(xiàn)場(chǎng)設(shè)置了一些黑客的破解體驗(yàn)活動(dòng)，其中包括網(wǎng)絡(luò)透明人、黑客改號(hào)體驗(yàn)、人臉識(shí)別破解?？上б?yàn)橐?tīng)演講，記者日程安排太滿，沒(méi)能好好體驗(yàn)一下。

[[187190]]

網(wǎng)絡(luò)透明人主要是指體驗(yàn)者將自己帶有“閃付”功能的銀行可或者裝有銀行卡的錢(qián)防盜讀卡器上，個(gè)人信息以及近期交易記錄經(jīng)過(guò)處理后將會(huì)出現(xiàn)在大屏幕上。而黑客改號(hào)體驗(yàn)，是指將自己手機(jī)號(hào)輸入在大屏幕上，并輸入想要修改成的號(hào)碼，如110，點(diǎn)擊確定。體驗(yàn)者將使用自己的手機(jī)撥打演示手機(jī)187XXXX7801.演示手機(jī)即會(huì)響鈴，屏幕上會(huì)顯示修改后的手機(jī)號(hào)碼。

[[187191]]

人臉識(shí)別破解是在2017年的3.15晚會(huì)上被首次曝光。體驗(yàn)者對(duì)著鏡頭站在指定區(qū)域，鏡頭會(huì)給體驗(yàn)者拍一張靜態(tài)照片，經(jīng)過(guò)一系列技術(shù)處理，屏幕上的靜態(tài)照片就會(huì)動(dòng)起來(lái)并且在設(shè)備商建立3D臉模。用戶自己可以選擇登入自己人臉登陸的系統(tǒng)，使用動(dòng)態(tài)照片登錄或建立的3D臉模進(jìn)行破解。

作為國(guó)內(nèi)互聯(lián)網(wǎng)安全的領(lǐng)軍企業(yè)，360公司在去年的第四屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)上就提出“協(xié)同聯(lián)動(dòng) 共建安全+命運(yùn)共同體”的呼吁，正如360公司董事長(zhǎng)周鴻祎在會(huì)上所言：網(wǎng)絡(luò)威脅面前沒(méi)有幸存者，網(wǎng)絡(luò)安全也不應(yīng)該有旁觀者。360公司并沒(méi)有把這些理念和提議停留在口號(hào)層面，而是身體力行地做出了表率。

相信隨著此次補(bǔ)天白帽大會(huì)的成功舉辦，將有更多優(yōu)秀白帽子與國(guó)內(nèi)企業(yè)相互成就、共同提高。各級(jí)安全力量的協(xié)同聯(lián)動(dòng)將讓國(guó)內(nèi)網(wǎng)絡(luò)安全水平邁上新臺(tái)階。