【51CTO.com原創(chuàng)稿件】俗語有云：“單絲不成線，獨木不成林”。

三國時代東吳之主孫權曾說：“能用眾力，則無敵于天下矣;能用眾智，則無畏于圣人矣。”

“眾”的氣力，遠弘遠于個體。能用“眾力”者必能窮致“眾智”，能用“眾智”者必能發(fā)揮“眾力”，故其力無敵于天下，其智勝過所謂大賢大智的圣人。孫權之所以能屢次重創(chuàng)來犯之敵，并非因其能征善戰(zhàn)、謀略出眾，而是由于他會用“眾力”、“眾智”。

互聯(lián)網(wǎng)時代，安全威脅層出不窮，如何保障自身的安全是每個企業(yè)都關心的問題，也是工作的重中之重。但是由于世界上沒有100%安全的業(yè)務系統(tǒng)，大部分的安全隱患都是由企業(yè)本身的安全漏洞而起。即便是那些看起來最沒法攻破的碉堡。

為了幫助企業(yè)發(fā)現(xiàn)這些安全漏洞，提升企業(yè)的安全。近兩年來，國內(nèi)匯集白帽之力發(fā)掘漏洞的漏洞檢測和響應平臺不斷興起。例如：補天、先知、漏洞盒子、SOBUG，以及企業(yè)自建的安全應急響應中心(簡稱：SRC)等平臺。通過這些平臺，來自全國各地的白帽子都可以將最新發(fā)現(xiàn)的漏洞盡快通知到企業(yè)。

近日，記者走訪了補天漏洞平臺負責人白健，對這家匯聚眾多白帽的國內(nèi)最大的漏洞檢測和響應平臺進行了深入了解。下面，讓我們一起來看看該平臺是如何合眾白帽之力守衛(wèi)互聯(lián)網(wǎng)安全的。

[[186666]]

補天漏洞平臺負責人白健

企業(yè)安全防御需合多方之力

目前，國內(nèi)很多的企業(yè)在安全方面的投入往往不夠，安全基礎薄弱，而且在安全人才方面普遍匱乏。通常為了追求效率，采用開源軟件進行短時研發(fā)，但這往往忽視了安全問題，尤其是中小型企業(yè)。

白健在接受記者采訪時表示，盡管安全人員采取各種手段加強安全防護，但是仍不可避免的遭受零日漏洞威脅。這種漏洞一旦被發(fā)現(xiàn)并公開后，將會立即被惡意利用，其傳播速度非?？?。為了避免造成更大的危害，白健建議企業(yè)從以下三方面做起：一是，企業(yè)響應要快，進行快速的處理。比如立即升級，在攻擊危害很大時，可以采取關閉網(wǎng)絡阻斷攻擊。二是，政府作為監(jiān)管方要足夠重視零日漏洞威脅，要引導規(guī)范，制定法規(guī)，阻止零日漏洞POC的廣泛傳播。三是，作為安全廠商，要及時通知企業(yè)，并給出解決方案。

堅持公益 合眾白帽之力守衛(wèi)互聯(lián)網(wǎng)安全

作為國內(nèi)知名的安全廠商，360旗下的補天漏洞平臺，從漏洞的檢測與響應出發(fā)，幫助企業(yè)提升安全防范能力。該平臺是360企業(yè)安全集團旗下的一支安全研究團隊，也是國內(nèi)首個現(xiàn)金獎勵漏洞平臺。據(jù)白健介紹，補天是一個不以盈利為目的的平臺，其核心工作主要包含兩方面：一是做公有SRC，通過眾多的白帽收集漏洞，然后免費通知企業(yè)做響應，平臺補貼相關成本。二是給沒有力量建立SRC的傳統(tǒng)企業(yè)以及中小企業(yè)，在補天的平臺上建立他們自己專屬的SRC，企業(yè)只需要在平臺上注冊，簽署相關服務協(xié)議，授權白帽子進行測試即可，補天幫助企業(yè)運營，托管白帽子獎金發(fā)放，平臺不收取任何費用。

目前，補天平臺擁有3萬多名白帽子，已發(fā)現(xiàn)的漏洞總數(shù)20多萬，發(fā)放獎金近900萬，還有很多實物禮品和積分。平臺上實際注冊企業(yè)達4200多家，漏洞涉及企業(yè)2萬多家企業(yè)。

什么樣的白帽子才能入駐補天漏洞平臺?

首先，你得是一名真正的白帽子。所謂白帽子，通俗的描述是正面黑客,他可以識別計算機系統(tǒng)或網(wǎng)絡系統(tǒng)中的安全漏洞，但并不會惡意去利用，而是報告其漏洞，當然不是冒然的公之于大眾面前，而是告知企業(yè)。這樣，企業(yè)將可以在被攻擊者利用之前來修補系統(tǒng)漏洞。

白帽子想要入駐補天漏洞平臺，只要登錄網(wǎng)站自行填寫相關信息注冊即可，白帽在平臺上的身份信息是透明的。白健表示，白帽子都是一群充滿正義感的人。目前平臺上的白帽學生占比很多，約為30%-40%，主要以大學生為主，其中大專畢業(yè)的相對較多。這些白帽子有很多是非計算機科班出身，純粹出于自身愛好。他們最大的共同點就是逆向思維強，崇尚自由與個性。他們考慮事情的角度多樣化，發(fā)現(xiàn)的漏洞的方式各不相同，當他們聚集到補天這個平臺，彼此也成為志同道合的朋友。此外，不少企業(yè)招聘的學歷門檻高，而很多優(yōu)秀的白帽達不到這個門檻，現(xiàn)在企業(yè)只需要通過平臺發(fā)布項目，白帽子領任務，達到雙方的共贏。

成為補天平臺的白帽之后即可提交漏洞，根據(jù)漏洞發(fā)現(xiàn)的難易、漏洞可能造成的危害程度獲得一定的積分和獎勵。等白帽子能力和信譽排名積累到一定程度，就可以通過補天平臺領取懸賞任務，完成任務即可獲得企業(yè)提供的更多現(xiàn)金獎勵。

補天將白帽分為普通白帽和精英白帽。因為有的企業(yè)要求較高，必須必備一定的技能和信譽才能完成任務。在得到企業(yè)的授權后，平臺會為其量身挑選30-50名經(jīng)驗豐富的精英白帽，對該企業(yè)進行專業(yè)的漏洞檢測。此外，參與“眾測”的這些精英白帽均完成實名認證并簽署保密協(xié)議，通過VPN安全接入，結合平臺獨有的網(wǎng)絡流量記錄和分析產(chǎn)品進行監(jiān)測，平臺全程監(jiān)控白帽子操作行為，保證測試過程安全可控。檢測結束，平臺提供專業(yè)詳實的修復方案，讓企業(yè)快速排除漏洞安全隱患，迅速提升安全防護能力。

白健表示，補天積極引導白帽正向發(fā)展，引導白帽用自己的力量為社會做貢獻，同時打消外界對他們的誤解。為了提升白帽的正義感和榮譽感，除了對于白帽的正向引導和獎金禮品鼓勵外，補天定期在白帽集中區(qū)域舉辦沙龍活動，在肯定優(yōu)秀白帽能力和突出貢獻的同時，也特別邀請知名律師開設法律講堂，普及法律知識，并邀請資深安全專家，幫助白帽做好職業(yè)規(guī)劃，這也是補天的社會價值所在。

補天白帽大會召開在即

為了建立更高效有效的溝通橋梁，補天漏洞檢測與響應平臺主辦的補天白帽大會將于3月30日在深圳召開。屆時，美國知名白帽平臺HackerOne以及Defcon黑客大會的defcon group也將參會并分享精彩議題，廣泛傳播黑客文化，弘揚黑客精神。來自通報中心、Cncert、國測等政府部門領導也將出席致辭，超過百位中外白帽子、百余家企業(yè)代表共聚一堂，大會旨在解讀當前網(wǎng)絡安全形勢和安全威脅，探討漏洞響應與防范措施，建立企業(yè)與白帽子協(xié)同機制，全方位解決全社會網(wǎng)絡安全隱患。大會現(xiàn)場各地白帽將會擦出怎樣的火花，讓我們拭目以待!

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】