专栏名称: 安在
人物、热点、互动、传播,最有内涵的信息安全新媒体。
目录
相关文章推荐
云技术  ·  3528万元,联通云智算存储大单 ·  昨天  
云技术  ·  3528万元,联通云智算存储大单 ·  昨天  
安天集团  ·  安天研发部门阅兵——战略情报中心 ·  3 天前  
安天集团  ·  从一条威胁告警发现隐蔽的“毒蛇” ·  3 天前  
51好读  ›  专栏  ›  安在

白健:信安“长跑者”,补天“掌门人”|人物

安在  · 公众号  · 互联网安全  · 2017-03-07 12:04

正文

 

从2016年开始,白健多了一个新绰号:“白掌门”。

 

这个绰号有着双重含义:其一是他姓白;其二则是,他是360补天漏洞响应平台的负责人,管理着整个平台上超过30000名白帽子。在提交漏洞时,白帽子若选择匿名,昵称则显示为“带头大哥”,从这个角度讲,白健就是“大哥中的大哥”。“白掌门”的称号,名副其实。


 

然而,“大哥”却并不是那么好做的。

 

长久以来,由于信息安全行业特有的隐秘性,白帽子这一群体一直处于公众视野的边缘,直到2013年左右,绝缘的状态才渐渐被打破。但是,较高的技术门槛、长期隔绝引发的陌生感和根深蒂固的偏见,让公众对白帽子的态度始终暧昧不清:如同欧洲人初次见到番茄一般,既对它的香气和色泽感到好奇和向往,又隐隐觉得“有毒”,称之为“狼桃”。而白帽子的命运,也随之起起落落、波折不断:声名鹊起不过三四年,几场风波让白帽子又一次受到了误解和打击,也让许多安全从业者再度陷入迷茫。

 

“白掌门”却似乎并不属于迷茫者的一员:采访中的白健开朗而健谈,话语间不时穿插着各种玩笑。眼下,他正为三月底的“补天白帽大会”做最后的准备。“参会的企业级用户和白帽子是对半开。”白健向我们解释道,“这一次来的很多都是技术型用户,和其他会议不同,补天的定位是‘草根技术盛宴’,我们覆盖不同的维度。”

 

而另一个惊喜则出乎我们的意料。“这一次我们邀请了海外的漏洞平台。”他揭晓了谜底,“HackerOne会来。”


 

 

2017年春节刚过,白健立刻陷入了一场意外的忙碌。

 

“我从美国休假回来,刚上了一天班,还在倒时差呢。老齐(360企业安全集团董事长齐向东)一句话,‘你再去一趟吧’,星期二就订了周末的机票,又飞回了旧金山。”他这样形容当时的情景。

 

事件的起因在于白健度假时的“交友”:身在硅谷的他,想着趁私人时间和美国的同行“交交朋友、认识一下”,见了几家同行后觉得“特别有意思”,回国后就汇报给了老板,没想到公司对此非常感兴趣,便派他再次前往美国,尝试在RSA期间谈一些深度的合作。

 

然而这一谈,竟又谈出了更多的名堂。

 

HackerOne的COO王宁本就是留美华人,白健提起他时,语气中充满了敬佩:“很厉害,30多年前北大毕业拿了李政道奖学金,又读了伯克利物理学的女博士。”交谈中,王宁透露自己是郑州人——和“土人”谭晓生正是老乡,“所以在RSA期间还特意安排了一场老乡会”。聊得投机,王宁当即决定参加“补天白帽大会”:“听说是在深圳,我这边还没发给她日程,她机票都已经买好了。”白健笑着说,“我说,这个会不办也得办了。”

 

“《人民日报》上说RSA要走出去、学回来,我们还要加一个‘引进来’。”白健告诉我们,下一步,他计划组织补天平台的精英白帽子到今年的BlactHat上交流,同时引入海外白帽子共同进行众测项目,无论对哪一方,这样的合作都是有益的。“它们想要进入中国市场,可以通过这样的方式进行合作。”而白健则希望通过合作提升国内企业防护境外攻击的能力。“根据360互联网安全中心发布的报告显示,2016年来自境外的攻击占到了20%,而我们对他们的思维方式并不了解。”

 

如果不是这次接触,白健也很难意识到海外企业和白帽子与国内存在的差异。“之前我们要了解他们,也就是通过互联网嘛。”而如今,对于海外的情况,白健已经有了充分的了解,讲起来滔滔不绝:“比如技术架构,国内企业由于经费、去IOE计划的影响,用PHP、Python等语言快速开发产品比较多,整体安全性难以得到保证。而国外由于都完成了基层解决方案的搭建,并且有Oracle、IBM这样的大公司支持,架构比较成熟,安全性更有保证。国外的大型公司发生入侵事件一般是服务提供商出现0day漏洞或边缘系统的问题,相比之下,国内的安全问题都比较基础,SQL注入、命令执行、弱口令等等还是高发漏洞。”

 

当然,他最关心的还是白帽子间的差异。“技术水平其实差不多,群体数量也差不多,更多的是习惯上的差异,工具也是五花八门。”他提到了一个有趣的差别:“他们听说我们的白帽子90后居多都很惊讶,而他们的白帽子大多是70、80后,分布在欧美三四十个国家,比我们广泛得多。”

 

从这一细节不难看出,相比于海外,国内的信息安全尚处于起步阶段。白健举了HackerOne的例子:“他们的众测很开放,有邮箱、注册个ID就可以参与。相比之下,我们对于众测的接受度没那么高。像1400人众测五角大楼这种项目,在国内基本不可能。”

 


所以在这个阶段,国内平台间的协同合作显得更为必要。今年的“补天白帽大会”上,白健邀请了各大SRC进行宣讲,希望以此为契机,进一步组织起各平台的合作,包括通用漏洞数据共享、白帽子认证信息互认等等。“当然,对我们肯定也有好处。”他解释道,“如果整个行业都关心白帽子的正向引导成长和规范,无论对谁都是有利的。”

 

 

“没有全产业的引导,靠我们一家之力远远不够。”白健提到了之前有个别白帽子被黑产引诱的情况,最大的感受是“心痛”,“白帽子都是非常有正义感的,我们在一起玩、做活动,看到的都是很单纯的、技术型的年轻人。”这段时间,他正以补天平台的几位白帽子为例子,试图打造一个“典型的白帽子群体”,让他们“走到阳光下”,扭转公众的印象:“过去大家对白帽子群体不了解,充满了各种猜测和想象,其实他们和普通人有什么不同呢?都是有感情、有工作,有老婆孩子,希望用自己的技术能力为社会做一点事情的。”

 

让白健尤为印象深刻的,是补天平台组织的法律讲座:“我们的初衷不是威慑,而是很多白帽子真的不懂,出了事才模糊地意识到违法了。”几乎每一次的法律讲座最后都会超时,“给我的感觉是,他们对法律知识充满了好奇。”白帽子们经常踊跃地提出很多难以解答的问题:“他们经常问一个具体的事情,比如我在论坛分享了一个渗透方法,是不是违法?这种情况其实很复杂,什么类型的平台、分享的动机、造成的影响,都会导致不同的结果。”“其实白帽子的动机一般都是炫耀。”白健说,“他们觉得找到了不错的方法、工具甚至好玩的数据,就分享出去了,结果一不小心就违法了。”

 

而另一点让白健感触颇深的,就是白帽子群体的生存情况。“这个群体并不是很大,还需要培养和引导,但我们的社会似乎对他们并不是很友好。”白健认为,白帽子是一群擅长逆向思维的人才,而“正向思维的教育模式”他们很难适应。“很多白帽子高考成绩都不太好,我们的教育模式对他们约束太多。”他注意到由此而引发的一系列后续问题,“学历不高就对就业造成了很大的影响,有个单位让我帮我招两个能做渗透的,我一看要求,硕士毕业,基本不可能。”在他交流过的众多白帽子中,只找到了Hckmaple一个人拥有硕士学历。

 

与此同时,一些人还在不断离开这个群体,“挖漏洞是个很累的事情,需要长时间在电脑前工作。特别是很多项目客户要求在夜间测试,对于年龄偏大、有家庭的白帽子来说,基本无力承受。”

 

在白健看来,漏洞平台给了白帽子们一条很好的展现能力的出路。“按照常规的模式很难找到好的工作,除非到互联网公司。”他提到了补天平台的典型白帽子衰大,“他家在乌鲁木齐,在当地找一个好的工作比较难。还有一些白帽子在三四线城市,比如乐山、绵阳,别说互联网公司,可能传统公司的安全岗位都没有。”



而有了漏洞平台,白帽子的才华就有机会施展出来了。“可以在当地找一个比较闲的工作,当然工作还是要有,毕竟大家要交社保、公积金。”白健举了个例子,“不交金,就没办法公积金贷款买房了。”而漏洞平台能够打破地域限制,给白帽子们提供了一个施展才华的舞台,既能得到认可又能赚到奖金,这样就能让白帽子静下心来持续发展。“不断提升技术,去研究安卓、IOS甚至Windows操作系统的白帽子,后来也都找到了很好的工作。”

 

而做好补天平台,就是白健能给白帽子们的最大帮助。

 

 

截止到目前,补天漏洞平台收到了超过100000个漏洞,发放奖金将近9000000元。有白帽子提出质疑,为什么漏洞和奖金不成比例,难道我们的漏洞就这么不值钱?

 

“其实我们的漏洞分为几类。众测项目奖金3000到30000不等,企业专属SRC奖金1000到3000元,这些是企业自主发放的,我们只代扣个人所得税。”而另一部分则被白健称为“公益”:“公益类的是平台自己补贴的,这部分漏洞我们会给白帽子少量物质鼓励,漏洞提交主要靠白帽子们的正义感驱动。这些漏洞我们收上来,是免费提供给企业的。我们需要自己去找企业,有时候还要猜企业安全部门或者IT部门的邮箱,然后给他发个邮件,说白帽子发现一个漏洞,请尽快确认修复。

 

他坦率地表示,国内企业与漏洞平台的沟通和互动上仍有很大的改善空间,“响应的只有两三成左右”,“联系大企业有时候只能找到客服部门,技术人员很难联系上”,诸多沟通的挑战,白帽子与企业,就像分处在河的两岸。

 

记得一个白帽子曾试图通过补天平台向华泰证券提交一个漏洞,企业自己快速修复后我们并没有得到回复,补天平台以为企业没有收到,就将漏洞提交给了监管部门。一场沟通过程中的磨合与误会,却意外促成了监管部门、企业、平台和白帽子更顺畅的互动,并在此基础上不断借助白帽子的力量,为企业的安全工作做贡献,让白帽子成为了围绕在企业周围携手保护公民信息的一份子。

 

如今,华泰证券进一步借助认证白帽子的力量,积极响应监管部门对加强安全演练的要求,将企业的安全人员、外部专业团队和认证白帽子共同组成“红蓝军”进行实战演练,在攻与防的对抗过程中不断提升企业的安全防护水平。种种例子说明,白帽子参与的众测模式,极大地帮助企业提高了漏洞发现的效率。白掌门说:“一个安全人员,思路可能比较单一,三五十个白帽子独立工作提供不同的思路,效率就上去了。我们统计过,与传统安服公司的渗透测试相比,众测找到的漏洞数多了大约十倍。”

 

360大平台为补天模式提供了最适宜的土壤。与其他商业类产品不同,老齐给补天平台的指示是“不能赚钱”,“你们就是不能赚钱,赚钱了说明用户感到胁迫了。你们不赚钱,就没有胁迫用户的动力了。”白健这样解释平台的定位。

 

而在白健看来,创业公司在这方面尚不具备这样的能力。他细细算了一笔账,“我们团队20多个人,创业公司需要财务法务市场等职能部门,一般需要四五十号人——一线城市的四五十个员工,薪水、差旅加房租一个月至少一百多万,一年就是一千多万,年终还发年终奖啊。融资融了一两千万,一年就发光了,不赚钱的行业谁都受不了,投资人也不受不了。”说到这,他笑了起来,“可能这个时代大家都挺着急的,这边钱哗哗地往外发,那边房价噌噌地往上涨,谁看着都得怀疑,‘我们是不是走错路了啊?”

 

他觉得,创业公司可以尝试不同的切入点,比如专注于某一个方面的安全防御是一个不错的选择,“从不同维度维护信息安全。”

 

“长远来看,价值很大。”白健这样总结他在信息安全领域的所见所闻。“但还处在发展过程中,要有长跑的心态。我这个人喜欢看长期,长期做肯定能做好,遇到一些小问题、小波折,也一定能解决。”


 

3月30日在深圳前海举办的补天白帽大会是白健“长跑”中的重要一环。补天白帽大会是首个面向全球白帽和技术精英开放,专注于漏洞相应和防护的安全行业大会,秉承开放、协同的原则,广泛邀请国内外知名白帽、技术精英、安全爱好者,与网络安全相关主管机构和知名企业和机构的CISO共同参与,共同解读当前网络安全形势和安全威胁,探讨漏洞响应与防范方案,同时分享交流漏洞挖掘与安全功防等沿议题。

 

有趣的是,此次大会的主题定为“Hack For Security”——两个词语的含义看似截然相反,却恰恰诠释了真实的白帽子形象:并非破坏者,而是安全的守护者。让全社会都能理解这句话,或许正是白健“长跑”的起点。

 

与工作中相同的是,生活中的白健也是一个长跑爱好者。如今,他已经跑过了十几场马拉松,还在向着更远的目标进发。而在信息安全这条更为漫长的跑道上,“白掌门”的“马拉松”才刚刚开始。

 






回复关键字,看最经典的黑客传奇



回复010:原创 | 智者大潘

回复011:原创 | 360谭晓生的方法论

回复012:原创 | 龚蔚:我不是黑客教父

回复013:原创 | Ucloud之父季昕华

回复014:原创 | “苹果”是我干掉的,韩争光

回复015:原创 | 云舒,我为什么要离开阿里

回复016:原创 | TK,从妇科圣手到黑客教主

回复017:原创 | 乌云来了,我是方小顿

回复018:原创 | 破解了特斯拉的林伟

回复019:原创 | 刺风有道,吴翰清的云端飞扬

回复020:原创 | 铁马“冰河”,侠骨黄鑫



扫描二维码 关注更多精彩

新锐丨大咖丨视频丨白帽丨在看

回复关键词获得关于安在更多信息