中新网上海新闻5月29日电 作为首个面向民间安全群体(白帽子)和安全从业者、技术精英开放的,专注于漏洞响应与防护的安全行业盛会,2019补天白帽大会29日在上海举办。
本届补天白帽大会是奇安信集团正式跻身“国家队”后首次举办的白帽大会,也是国内规模最大的白帽盛典,业内人才齐聚一堂,共同就漏洞技术、安全事件进行研讨分享。
据了解,补天白帽大会由补天漏洞响应平台主办,由公安部网络安全保卫局、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国信息安全测评中心、国家信息技术安全研究中心、中共上海市委网络安全和信息化委员会办公室共同指导,联合知名国际安全组织以及国内外多家企业安全运营响应中心(SRC)参与。
上海市委网信办总工程师杨海军,公安部网络安全保卫局副处长范春玲,国家信息安全研究中心副主任刘瑛煜,金融安全处副处长曹岳,中国信息安全测评中心 漏洞库管理处处长时志伟、副处长郝永乐,国家信息安全漏洞共享平台贾子骁,交通通信信息中心主任林榕,奇安信集团总裁吴云坤等嘉宾出席本届补天白帽大会。
补天五星计划发布
当前,随着物联网、云计算、大数据、5G等新技术新应用的普及,海量数据大集中的趋势日益明显、企业数据聚集规模快速膨胀,利用漏洞窃取用户数据、加密勒索等网络安全风险日益突出。
针对现阶段中国政企机构网络安全所面临的新风险,2019补天白帽大会上补天漏洞响应平台发布了“补天五星计划”,以“重塑安全属性,再创漏洞价值”为主旨,将漏洞响应范围从原来的Web为主,升级化为Web、系统、 IOT、工控、移动等五大方向,覆盖当前新一代网络安全环境下的漏洞风险。由此,补天漏洞响应平台也为国内第一家全面覆盖各种漏洞种类的漏洞响应平台。
(图/补天五星计划发布仪式)
“过去、现在和未来,补天漏洞平台都致力于做好三件事:维护企业网络安全、解决数据泄露隐患、培养网络安全人才。”补天漏洞响应平台负责人白健表示,随着漏洞响应品类的增多,白帽子应该更有专业的平台,把民间的网络安全攻防技术达人与企业的安全,更好的关联在一起。而补天五星计划,作为一个长期计划,将以“协同保护全社会网络安全”为使命,坚持平台的公益属性,以互联网众包的方式汇聚白帽子的安全能力,持续为国内企业的漏洞响应提供支持,实现漏洞的发现与修复,维护企业网络安全、解决数据泄露隐患、培养网络安全人才。
解决网络安全隐患
随着信息化深入发展和安全问题的日益突出,高危漏洞的民用化和犯罪集团化特点越来越凸显。
与会专家表示,整个漏洞交易变现的链条正在从上中下游协作向一步到位变现靠拢,同时变现的方式也从传统货币升级为比特币等数字货币。与此同时,利用漏洞发起的网络攻击,尤其是对关键信息基础设施的攻击,将带来不可估量的损失。
为此,在2019补天白帽大会上,业内知名专家学者针对Web安全、移动安全、物联网安全、工控安全、密码安全、系统安全、二进制漏洞挖掘技术、软件逆向技术、关键信息基础设施保护、安全技术发展趋势等前沿话题进行技术分享。
同时,针对关键信息基础设施的攻防演练和安全体系建设以及红蓝对抗设,国家电网、华泰证券、平安金融等企业,分享了网络安全体系建设经验。
与会技术专家提出,大型厂商应对APT级别攻击时,不仅要及时掌握最前沿的攻防技术,同时要进行纵深防御能力建设。
“网络安全的本质是攻防对抗。”奇安信集团总裁吴云坤在致辞中表示,应通过“44333”(四个假设、四新战略、三位一体、三同步和三方制衡)的新一代网络安全体系思想,构建起一种应对和对抗“争夺权利和利益”的攻击者的能力。
吴云坤称,“四个假设”是指假设系统一定有没被发现的漏洞、假设一定有已发现漏洞没打补丁、假设系统已经被黑、假设有内鬼。“四新战略”是指以第三代网络安全技术为核心的新战具、以数据驱动安全技术为核心的新战力、以零信任架构为核心的新战术、以“人+机器”安全运营体系为核心的新战法。“三位一体”是高中低三位能力立体联动的体系;“三同步”是指同步规划、同步建设和同步运营;“三方制衡”是将用户、云服务商和安全公司放在一个互相制约的机制下,从最大程度上杜绝漏洞,真正实现长治久安。
白帽子有望创造更大价值
“网络安全的本质是人与人之间的攻防对抗,再聪明的机器也不能取代人的作用。”吴云坤提出,新时代网络安全防护需要以人为核心,关注人在安全中的能力和价值,实现安全与信息化的“全面覆盖、深度结合、有效检测、协同响应”。
但目前网络人才缺口绝大,在网络安全领域,白帽子又是一个特殊的群体,国内尚未有专门针对白帽子的相关政策。补天漏洞响应平台作为企业和企业和白帽子之间共赢的漏洞响应平台,在公益属性基础上,以互联网众包的方式汇聚白帽子的安全能力,实现漏洞的发现与修复,维护企业网络安全、解决数据泄露隐患、培养网络安全人才。这有望给白帽子提供更好的安全保障和价值平台。