2017补天白帽大会：他们用一身武艺守卫网络安全

安在 · 公众号 · 互联网安全 · 2017-03-30 17:30

正文

DEFCON Groups全球协调人 Jayson E Street

3月30日，补天白帽大会在深圳举行。大会由补天漏洞响应平台主办，指导单位包括国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心、中国信息安全测评中心和国家信息技术安全研究中心。360互联网安全中心、Hacker One、联想SRC，百度SRC等30多家企业和机构均派出代表参加。

360 企业安全集团董事长齐向东

据悉，这是国内外知名白帽、技术精英、安全爱好者，与国内网络安全主管机构、知名企业CISO首次齐聚一堂，共同解读当前网络安全形势和安全威胁。与会嘉宾一致认为：调动全社会白帽精英力量，建立企业与白帽子的协同机制，将有助于全方位解决网络安全隐患，帮助企业和机构共建更为安全可靠的网络环境。

签到大厅

白帽子能力获认可呼吁建立身份认证体系

在本届大会上，既有HackerOne、DEFCON以及补天平台三大国内外安全平台负责人发表精彩的主题演讲，又有华泰证券、携程等知名企业带来的典型案例分享。与会嘉宾围绕“漏洞挖掘的法律边界”、“技术快速成长分析”、“国内外SRC领域现状”、“身份认证体系建设”、“国际合作机制建设”等五大热点议题展开热烈讨论。

图左 Hacker One COO Ning Wang 图右补天平台负责人白健

他们提出：在网络安全领域，白帽子是一个特殊的群体，由于国内没有专门针对白帽子的相关政策，以致这个群体常常游走于法律边缘。近年来兴起的企业SRC模式，通过企业授权白帽子进行漏洞挖掘，并根据漏洞的危害程度、影响范围提供对应的奖金。这无疑给白帽子提供最好的安全保障。

本次补天白帽大会上，补天漏洞响应平台和厂商代表为白帽子优秀代表颁奖，白帽子的能力获得充分认可的同时，也给了广大厂商吸引白帽子加盟的契机。

补天精英白帽华不再扬

与会嘉宾还呼吁建立白帽子身份认证体系，让白帽子在法律法规的指引下，更有效率地挖掘漏洞，为维护网络安全贡献才智。

安全要“走出去” 国内企业SRC探索国际众测道路

此外，作为首个面向全球白帽和技术精英开放的、专注于漏洞响应和防护的全球性安全行业大会，补天白帽大会还鼓励与会企业SRC共同探索国际众测道路。

360SRC 负责人张玉

这已经不是360公司探索加强国际间协同合作，分享网络安全领域最新技术研究成果、最新攻击方式及漏洞防护技术的牛刀初试之举。早在2015年举行的世界黑客大会defcon上，来自360独角兽团队（UnicornTeam）的五位中国安全研究人员的三个议题同时入选大会演讲议题，它标志着国内安全攻防研究水平已经受到世界安全行业的认可，国内白帽子已经跻身世界“黑客”第一阵营。

360 公司核心安全事业部总经理，助理总裁 MJ

今年RSA结束后，360企业安全集团还组织了“RSA 2017产业与技术趋势研讨会”，邀请从RSA归来的多位专家，分享他们在RSA上的所见所学所思。

凡此种种，都是360公司在促进网络安全跨行业和产业协同合作，应对全球化的网络攻击方面做出的有益尝试。

360 公司首席安全官谭晓生

通过攻防实战检验安全 360对抗式演习发布

在大会上，补天漏洞响应平台还发布了《2016年网站泄漏个人信息形势分析报告》（以下简称《报告》），《报告》指出，2016年补天平台共收录了可以导致个人信息泄露的网站漏洞359个，总计可能泄漏个人信息60.5亿条。其中，共有20个网站漏洞可能泄漏5000万条以上的个人信息，还有2个漏洞可能泄漏5

亿条以上的个人信息。虽然网站漏洞数量较去年有所下降，但单个漏洞的危害却大大增加，比2015年增加了近三倍。

可能泄露个人信息类型分析

《报告》统计，在2016年可能泄露个人信息的漏洞中，高危漏洞数量占96.1%，中危占3.6%，低危占0.3%。由此可以看出，绝大多数的网站漏洞对于个人信息安全是“致命”的存在，一旦被不法分子利用，极有可能对用户信息安全造成重大危害。

另外，360公司还发布了国内首个通过攻防实战来检验有效性的安全服务——360对抗式演习，该服务以检测并提升防御体系有效性为核心目的，通过红蓝紫三军的真实对抗演习，从安全技术、安全管理和安全运营等多个维度着手，发现企业安全防御能力的问题和缺陷，并提出切实可行的改进思路和建议，帮助企业不断完善安全体系建设，提升对抗新兴威胁的能力。