9月17日,面向全球白帽和技术精英的全球性安全行业大会——2021补天白帽大会在北京举行。作为《网络产品安全漏洞管理规定》(以下简称“规定”)正式实施后的第一个白帽行业盛会,来自监管机构、安全团队、研究机构的嘉宾和顶级白帽近千人汇聚一堂。
工业和信息化部网络安全管理局副处长肖俊芳,中国信息通信研究院安全研究所副所长覃庆玲,中国信息通信研究院安全研究所网络安全响应中心主任卜哲,北京赛博昆仑科技有限公司创始人兼CEO MJ,华为云首席安全生态官万涛,字节跳动安全中心负责人林伟,腾讯安全天马实验室负责人、腾讯安全学院副院长杨卿,蚂蚁安全对抗技术部负责人曲和,资深网络安全专家、实战攻防团队蓝军负责人叶猛,奇安信集团董事长齐向东,奇安信集团副总裁、补天漏洞响应平台负责人张卓等嘉宾应邀出席。十余家企业SRC、近百个国内外优秀的安全实验室及安全团队也参与了本次大会。
漏洞管理规定正式施行 白帽群体有了行为“准绳”
网络安全产业已发展进入快车道,白帽人才也成为维护网络安全行业的重要支撑力量。工信部网安局副处长肖俊芳在致辞中表示,工信部网络安全威胁和漏洞信息共享平台自9月1日上线以来,已收到来自电信网、互联网、车联网等各领域安全漏洞近9万个,其中以补天平台为代表的第三方漏洞平台的大力支撑和对白帽群体的积极引导起到了重要作用。
奇安信集团董事长齐向东则在致辞时提出,《网络产品安全漏洞管理规定》会对网络产品提供商、白帽群体、漏洞平台三个方面起到激励作用。其中,漏洞管理规定将白帽的行为正当化、合法化,给白帽子提供了安全感。
齐向东指出,一方面,《规定》明确鼓励民间力量进行漏洞挖掘工作,给漏洞的发现、收集、发布等行为划定了红线,引导白帽子在合法合规的条件下发挥价值;另一方面,《规定》也鼓励厂家针对白帽子设立漏洞奖励机制,白帽子亦可通过自己的一技之长获得相应的回报,从而形成良性循环,推动安全产业不断壮大。2021年,就有企业SRC通过补天平台向白帽子支付了高达13万元的单个漏洞奖金。
而对于漏洞平台来说,漏洞管理规定的实施,也为漏洞响应平台提供了健康的成长方向。下一步,补天将继续优化提升平台能力,对民间白帽进行正向引导,帮助厂商建设和运营符合要求的产品漏洞收集平台,守住漏洞这条重要的安全防线。
《2021白帽人才报告》发布 网络安全进入00后时代
在国内良好的政策环境和产业环境推动之下,我国白帽人才的总体能力建设持续提升。补天白帽大会上,奇安信集团副总裁张卓发布的《中国白帽人才能力与发展状况调研报告》也从多方面证实了我国白帽人才的特点:勤学刻苦的漏洞“挖掘机”,坚持“为爱发电”,且00后已成主力军。
报告显示,约有38.8%的白帽人才,每年人均提交有效安全漏洞数量超过10个;更有约4.7%的白帽人才每年人均提交有效漏洞数量超过300个,堪称漏洞界的“超级挖掘机”。
值得注意的是,这些漏洞“挖掘机”的年龄呈年轻化,00后已经成为国内白帽人才的主力军,占比高达38.4%,95后的占比为34.6%,甚至已有少量10后年轻人加入了白帽子的队伍,网络安全已开始进入00后时代,未来可期。本次补天年度白帽子颁奖中,也为这群年轻群体颁发了“补天最具朝气白帽奖”,为项目申请率、项目通过率、项目有效率遥遥领先的白帽少年颁发荣誉。
这些勤学刻苦的白帽人才在自学上投入了大量的时间成本,在接受调查的白帽子中,每周自学黑客技术的人均时间超过15.0个小时,其中,有14.1%的白帽子每周自学时间达20-50小时,堪称“白帽学霸”;更有8.0%的“白帽学神”每周自学黑客技术时间超过50小时,日均自学时间超过7个小时。
但最让人敬佩的是,对于挖掘并提交如此多漏洞且勤学刻苦的白帽群体来说,“个人爱好”是其最主要的驱动力,有超过64%的受访者认为这是首要原因。强大的自我认同感或许也是白帽子“为爱发电”的原因之一,有近8成的白帽子认为白帽工作非常酷或有点儿酷。
首届补天繁星奖颁奖
补天漏洞响应平台作为企业和白帽子之间的桥梁和纽带,已拥有长达8年的丰富漏洞平台运营经验,已有注册白帽8.7万人,报告漏洞总数超67万,入驻企业数量超过6000家。
今年的补天白帽大会,首次针对白帽人才及安全应急响应中心推出了“补天繁星奖”年度评选活动,旨在评选出行业内“最受欢迎的白帽团队”与“最受欢迎的安全应急响应中心”,共同为网络安全人员加油鼓气,推动行业健康发展,打造良好的安全生态。
经过材料审核、大众评审、专业评审、特邀白帽评审等环节,腾讯安全应急响应中心、百度安全应急响应中心、京东安全应急响应中心、蚂蚁安全响应中心、陌陌安全应急响应中心、涂鸦安全响应中心、字节跳动安全中心、OPPO安全应急响应中心8个企业SRC获得“最受欢迎应急响应中心”奖项,零组攻防实验室、ChaMd5安全团队、r3kapig、The loner、Timeline Sec、Nu1L Team、白帽一百安全攻防实验室、WhITECat安全团队获得“最受欢迎安全团队”。
与此同时,最具价值白帽奖、最具贡献白帽奖、最具公益能量奖、最具潜力白帽奖也在大会上公布,十余位在补天平台表现突出的白帽人才获得荣誉,充分体现了民间安全从业者的蓬勃活力。
技术、政策双向深度交流
《网络产品安全漏洞管理规定》的正式实施,明确了各类主体的责任和义务,对相关网络从业者均产生巨大影响。为推动各方主体更好理解规定,推进漏洞管理有序开展,本次大会特举办网络产品安全漏洞管理与实践闭门论坛。
中国信息通信研究院安全研究所网络安全响应中心主任卜哲对网络安全威胁和漏洞信息共享平台进行了详细介绍,并和与会企业一起,围绕网络产品漏洞管理规定展开研讨。
为帮助更多企业建立专属的安全应急响应中心,依照规定开展漏洞管理工作,奇安信首次推出了“补天全栈式SRC服务”,通过持续监测和漏洞发现、端到端服务、个性化门户、漏洞信息报告、线上线下联合运营推广四大服务为企业提供安全可控、全栈管理的保姆式安全服务。
与此同时,各位安全专家带来的技术分享也是活动最具干货的重磅环节。来自昆仑实验室、腾讯安全天马实验室、R3kapig团队、腾讯蓝军、DeadEye安全试验研究室、阿斯巴甜攻防实验室、奇安信技术研究院天工实验室、奇安信代码安全实验室等顶尖安全实验室及团队的安全专家、安全研究员围绕卫星通信网络、虚拟货币等前沿技术趋势,云原生容器集群、供应链、智能汽车、反诈等多维度实战技巧,进行了精彩分享。
好文章,需要你的鼓励
数字孪生技术正在改变网络安全防御模式,从被动响应转向主动预测。这种实时学习演进的虚拟副本让安全团队能够在威胁发生前预见攻击。组织可以在数字孪生环境中预演明日的攻击,将防御从事后反应转变为事前排演。通过动态更新的IT生态系统副本,团队可在真实条件下压力测试防御体系,模拟零日漏洞攻击并制定应对策略,从根本上重塑网络安全实践方式。
中山大学团队针对OpenAI O1等长思考推理模型存在的"长度不和谐"问题,提出了O1-Pruner优化方法。该方法通过长度-和谐奖励机制和强化学习训练,成功将模型推理长度缩短30-40%,同时保持甚至提升准确率,显著降低了推理时间和计算成本,为高效AI推理提供了新的解决方案。
Linux内核开发面临动荡时期,Rust语言引入引发摩擦,多名核心开发者相继离职。文章介绍了三个有趣的替代方案:Managarm是基于微内核的操作系统,支持运行Linux软件;Asterinas采用Rust语言开发,使用新型framekernel架构实现内核隔离;Xous同样基于Rust和微内核设计,已有实际硬件产品Precursor发布。这些项目证明了除Linux之外,还有许多令人兴奋的操作系统研发工作正在进行。
上海AI实验室研究团队深入调查了12种先进视觉语言模型在自动驾驶场景中的真实表现,发现这些AI系统经常在缺乏真实视觉理解的情况下生成看似合理的驾驶解释。通过DriveBench测试平台的全面评估,研究揭示了现有评估方法的重大缺陷,并为开发更可靠的AI驾驶系统提供了重要指导。