2017年3月30日，國內(nèi)外知名白帽、技術(shù)精英、安全愛好者，與國內(nèi)網(wǎng)絡(luò)安全主管機構(gòu)、知名企業(yè)CISO因補天白帽大會在深圳首次齊聚一堂，共同解讀當(dāng)前網(wǎng)絡(luò)安全形勢和安全威脅。

本屆大會由補天漏洞響應(yīng)平臺主辦，指導(dǎo)單位包括國家網(wǎng)絡(luò)與信息安全信息通報中心、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國信息安全測評中心和國家信息技術(shù)安全研究中心。360互聯(lián)網(wǎng)安全中心、hacker one、 聯(lián)想SRC，百度SRC等30多家企業(yè)和機構(gòu)均派出代表參加。與會嘉賓一致認為：調(diào)動全社會白帽精英力量，建立企業(yè)與白帽子的協(xié)同機制，將有助于全方位解決網(wǎng)絡(luò)安全隱患，幫助企業(yè)和機構(gòu)共建更為安全可靠的網(wǎng)絡(luò)環(huán)境。

360企業(yè)安全集團董事長 齊向東

白帽子能力獲認可 呼吁建立身份認證體系

在本屆大會上，既有HackerOne、DEFCON以及補天平臺三大國內(nèi)外安全平臺負責(zé)人發(fā)表精彩的主題演講，又有華泰證券、攜程等知名企業(yè)帶來的典型案例分享。與會嘉賓圍繞“漏洞挖掘的法律邊界”、“技術(shù)快速成長分析”、“國內(nèi)外SRC領(lǐng)域現(xiàn)狀”、“身份認證體系建設(shè)”、“國際合作機制建設(shè)”等五大熱點議題展開熱烈討論。

[[187188]]

DEFCON Groups全球協(xié)調(diào)人 Jayson E Street

Hacker One COO Ning Wang（左）  補天平臺負責(zé)人 白?。ㄓ遥?/p>

他們提出：在網(wǎng)絡(luò)安全領(lǐng)域，白帽子是一個特殊的群體，由于國內(nèi)沒有專門針對白帽子的相關(guān)政策，以致這個群體常常游走于法律邊緣。近年來興起的企業(yè)SRC模式，通過企業(yè)授權(quán)白帽子進行漏洞挖掘，并根據(jù)漏洞的危害程度、影響范圍提供對應(yīng)的獎金。這無疑給白帽子提供最好的安全保障。

本次補天白帽大會上，補天漏洞響應(yīng)平臺和廠商代表為白帽子優(yōu)秀代表頒獎，白帽子的能力獲得充分認可的同時，也給了廣大廠商吸引白帽子加盟的契機。

與會嘉賓還呼吁建立白帽子身份認證體系，讓白帽子在法律法規(guī)的指引下，更有效率地挖掘漏洞，為維護網(wǎng)絡(luò)安全貢獻才智。

安全要“走出去” 國內(nèi)企業(yè)SRC探索國際眾測道路

此外，作為首個面向全球白帽和技術(shù)精英開放的、專注于漏洞響應(yīng)和防護的全球性安全行業(yè)大會，補天白帽大會還鼓勵與會企業(yè)SRC共同探索國際眾測道路。

這已經(jīng)不是360公司探索加強國際間協(xié)同合作，分享網(wǎng)絡(luò)安全領(lǐng)域最新技術(shù)研究成果、最新攻擊方式及漏洞防護技術(shù)的牛刀初試之舉。早在2015年舉行的世界黑客大會defcon上，來自360獨角獸團隊(UnicornTeam)的五位中國安全研究人員的三個議題同時入選大會演講議題，它標(biāo)志著國內(nèi)安全攻防研究水平已經(jīng)受到世界安全行業(yè)的認可，國內(nèi)白帽子已經(jīng)躋身世界“黑客”第一陣營。

[[187189]]

360公司首席安全官 譚曉生

今年RSA結(jié)束后，360企業(yè)安全集團還組織了“RSA 2017產(chǎn)業(yè)與技術(shù)趨勢研討會”，邀請從RSA歸來的多位專家，分享他們在RSA上的所見所學(xué)所思。

凡此種種，都是360公司在促進網(wǎng)絡(luò)安全跨行業(yè)和產(chǎn)業(yè)協(xié)同合作，應(yīng)對全球化的網(wǎng)絡(luò)攻擊方面做出的有益嘗試。

通過攻防實戰(zhàn)檢驗安全 360對抗式演習(xí)發(fā)布

在大會上，補天漏洞響應(yīng)平臺還發(fā)布了《2016年網(wǎng)站泄漏個人信息形勢分析報告》(以下簡稱《報告》)，《報告》指出，2016年補天平臺共收錄了可以導(dǎo)致個人信息泄露的網(wǎng)站漏洞359個，總計可能泄漏個人信息60.5億條。其中，共有20個網(wǎng)站漏洞可能泄漏5000萬條以上的個人信息，還有2個漏洞可能泄漏5億條以上的個人信息。雖然網(wǎng)站漏洞數(shù)量較去年有所下降，但單個漏洞的危害卻大大增加，比2015年增加了近三倍。

《報告》統(tǒng)計，在2016年可能泄露個人信息的漏洞中，高危漏洞數(shù)量占96.1%，中危占3.6%，低危占0.3%。由此可以看出，絕大多數(shù)的網(wǎng)站漏洞對于個人信息安全是“致命”的存在，一旦被不法分子利用，極有可能對用戶信息安全造成重大危害。

另外，360公司還發(fā)布了國內(nèi)首個通過攻防實戰(zhàn)來檢驗有效性的安全服務(wù)——360對抗式演習(xí)，該服務(wù)以檢測并提升防御體系有效性為核心目的，通過紅藍紫三軍的真實對抗演習(xí)，從安全技術(shù)、安全管理和安全運營等多個維度著手，發(fā)現(xiàn)企業(yè)安全防御能力的問題和缺陷，并提出切實可行的改進思路和建議，幫助企業(yè)不斷完善安全體系建設(shè)，提升對抗新興威脅的能力。​

現(xiàn)場黑客破解體驗

大會現(xiàn)場設(shè)置了一些黑客的破解體驗活動，其中包括網(wǎng)絡(luò)透明人、黑客改號體驗、人臉識別破解。可惜因為要聽演講，記者日程安排太滿，沒能好好體驗一下。

[[187190]]

網(wǎng)絡(luò)透明人主要是指體驗者將自己帶有“閃付”功能的銀行可或者裝有銀行卡的錢防盜讀卡器上，個人信息以及近期交易記錄經(jīng)過處理后將會出現(xiàn)在大屏幕上。而黑客改號體驗，是指將自己手機號輸入在大屏幕上，并輸入想要修改成的號碼，如110，點擊確定。體驗者將使用自己的手機撥打演示手機187XXXX7801.演示手機即會響鈴，屏幕上會顯示修改后的手機號碼。

[[187191]]

人臉識別破解是在2017年的3.15晚會上被首次曝光。體驗者對著鏡頭站在指定區(qū)域，鏡頭會給體驗者拍一張靜態(tài)照片，經(jīng)過一系列技術(shù)處理，屏幕上的靜態(tài)照片就會動起來并且在設(shè)備商建立3D臉模。用戶自己可以選擇登入自己人臉登陸的系統(tǒng)，使用動態(tài)照片登錄或建立的3D臉模進行破解。

作為國內(nèi)互聯(lián)網(wǎng)安全的領(lǐng)軍企業(yè)，360公司在去年的第四屆中國互聯(lián)網(wǎng)安全大會上就提出“協(xié)同聯(lián)動 共建安全+命運共同體”的呼吁，正如360公司董事長周鴻祎在會上所言：網(wǎng)絡(luò)威脅面前沒有幸存者，網(wǎng)絡(luò)安全也不應(yīng)該有旁觀者。360公司并沒有把這些理念和提議停留在口號層面，而是身體力行地做出了表率。

相信隨著此次補天白帽大會的成功舉辦，將有更多優(yōu)秀白帽子與國內(nèi)企業(yè)相互成就、共同提高。各級安全力量的協(xié)同聯(lián)動將讓國內(nèi)網(wǎng)絡(luò)安全水平邁上新臺階。