5月12日起,利用Windows漏洞传播的“永恒之蓝”勒索蠕虫在全球范围内大规模爆发,影响近百个国家上千家企业及公共组织,我国至少有29372个机构遭到这一源自美国国家安全局网络武器库的蠕虫病毒攻击,保守估计超过30万台终端和服务器受到感染。该事件是“冲击波”病毒发生以来,14年一遇的严重网络安全攻击事件。
“永恒之蓝”为网络安全再次敲响了警钟,也让人们再次聚焦在这一领域潜伏多年的“白帽子”。记者对话多位“白帽子”,他们中有从事安全领域十几年的“老司机”,也有正值青春的“小鲜肉”,他们的经历,正是近年来中国网络安全变化的轨迹,也是Hacker(黑客)成长变迁的缩影。
6月1日,《网络安全法》正式实施,这一网络空间的基本法出台将为“白帽子”画一条明确的底线。
Hacker(黑客)这个词本无贬义,但在中国人的认知中,硬是将黑客分为正邪两派:帮助企业找漏洞的“白帽子”和职业破坏者“黑帽子”。在黑客这条路上,学历从来不是障碍,中专肄业的曾颖涛(曾颖涛:黑客未满时 | 白帽)未成年就在黑客圈小有名气。
1997年出生的曾颖涛外号“毛毛”,今年刚满20岁。小学时因为打游戏开始了解外挂和病毒,初中痴迷电脑的他干脆放弃高中,报考了广东惠州一家中专学计算机,是学校有名的电脑“疯子”。
曾颖涛(右)
曾颖涛言语极少,性格腼腆,骨子里有着一股疯劲和狂热。在学校就读时,他发现了学校网站的一个漏洞,并将漏洞报告给了老师。然而等到快毕业时,他发现漏洞仍在,“有点生气,就起了恶作剧的心理,利用当初发现的漏洞黑掉了学校的网站。”正是因为这次恶作剧,他被学校退学,成了肄业生。
2015年,在家自学的“毛毛”看到一个旨在挖掘互联网安全人才的“神话行动”海选,他一路过关斩将,成功入围。2015年底,时年18岁的“毛毛”发现漏洞,破解了沃尔沃、比亚迪、别克三种品牌部分车辆的防盗系统,实现了1分钟无钥匙开锁,引起不小的轰动。后来,曾颖涛进入有名的360独角兽团队,靠着挖漏洞找到一份薪水丰厚的工作。
年前,靠挖漏洞就业的人还不多,但现在,曾颖涛所熟知的圈里的黑客们,大多进了安全企业。
“前半生做贼,后半生抓贼,”360安全监测与响应中心负责人赵晋龙如此总结他的“白帽子”生涯。2003年,中国家用PC迎来爆发,很多家庭有了PC,那时赵晋龙正在读初中,成为中国较早接触黑客技术的一批人。
当时中国对网络安全的概念很模糊,“办个论坛都可能被说成是传播黑客工具”,不像现在竞赛满天飞,野心勃勃的黑客们可以有安全的地方自由炫技。
大学毕业前,赵晋龙在圈子里是做攻击,俗称“找漏洞的人”。毕业后一直从事安全厂商的网络防护工作,“攻”“守”身份互换多年,现在赵晋龙已经不大愿意提起过往的岁月,现在他的工作是负责抓入侵者。以前把漏洞找出来,再告诉对方怎么修复即可,现在考虑更多的则是怎么防护,“还有谁进来?进来干了什么?有什么目的?”
像曾颖涛、赵晋龙这样的白帽子大多进了安全企业,这也是中国大部分白帽子选择的归宿。
当然,也有那么一群不安分的“白帽子”选择了创业,他们没丢老本行,选择在安全领域里“自立门派”。
2015年底,姚威(【新锐】姚威:我要做凌晨三点最早看见曙光的人)和几个小伙伴一起创立了广州凌晨网络科技有限公司,帮助企业解决业务、资产及应用中的安全风险,包括互联网资产归属、持续威胁检测、敏感信息检测、风险预警等。作为一名资深“白帽子”,在公司的主营业务之外,他依然从事“挖漏洞”的工作,曾连续三年带领团队发表关于中国公共Wi-Fi安全的研究报告。
姚威
2013年以后,在政策和安全事件的双重驱动下,网络安全地位越来越高,安全领域新增的初创公司也越来越多。每年都有二三十家创业公司涌进网络安全市场,呈现出爆发式的状态,目前国内安全公司已经达到三四百家。越来越多的安全事件让姚威这样的初创企业尝到了甜头,创业以来,每半年公司服务的报价和成交额都会有一定的上涨,涨幅约为20%-30%,姚威向记者透露,每次安全事件以后,会有很多生意自己找上门。
第三方研究机构Gartner报告显示,我国企业级网络安全需求巨大,目前在国家工商总局注册的企业数超过1100万家,绝大多数企业均已接入互联网,但却缺少安全可靠的IT系统。随着企业网络安全意识的觉醒,企业级网络安全市场变成千亿级,甚至万亿级别的大蓝海。
和姚威一样,林榆坚也转向了创业。高中时,林榆坚就是一个经验丰富的白帽子,大学毕业后进入百度,2012年跳出互联网公司选择创业,成立安赛科技。林榆坚对“白帽子”的称呼不太感冒,他信奉的是“勿以漏洞论英雄”,认为“防护比攻击要困难得多”。
在林榆坚看来,大多数网络安全人员90%的时间都在从事防护方向的工作,“比如面对永恒之蓝,怎么去建立防护、降低危害、恢复数据,比利用NASA泄露的漏洞攻击别人要困难得多。”
法律把“挖漏洞”这件事从灰色地带放到光明地带,白帽子的生存环境正变得越来越好,随着法律改变的还有薪水。2013年之前,安全人员的平均薪水只是与IT行业其他工种持平。2013年“斯诺登事件”之后,薪水开始水涨船高。2012年,一个最普通的安全研究员月薪是5000-8000元,“现在,网络安全人才成为香饽饽,一些顶尖人才的身价已经炒得很高了,互联网公司给出的年薪(现金+股票)达到了千万元级别。”360补天漏洞响应平台的负责人白健(白健:信安“长跑者”,补天“掌门人”|人物)感慨道。
延伸阅读
全国安全人才缺口50万
2017本科专业名称毕业 半年后月收入(元)
1、信息安全 5906
2、软件工程 5869
3、网络工程 5600
4、微电子学 5503
5、计算机科学与技术 5452
6、法语 5426
7、信息工程 5388
8、物联网工程 5363
9、电子科学与技术 5147
10、信息与计算科学 5137
11、通信工程 5052
12、电子信息科学与技术 5040
13、信息管理与信息系统 5013
14、材料物理 5011
15、电子信息工程 4999
16、数字媒体技术 4949
17、物流工程 4920
18、金融工程 4876
19、自动化 4847
20、数字媒体艺术 4836
不难看出,安全人才的稀缺与日益增长的网络安全市场需求形成了巨大的矛盾。
一份来自网络安全服务平台的调研显示,中国内地企业网络安全管理与文化均落后于印度。内地企业44%的网络安全事件与数据泄露、员工操作不当、安全意识薄弱等有关,远高于全球16%的平均水平。
根据《中国信息安全》杂志统计,截至2020年,中国网络安全产业人才缺口达140万人,而目前每年高校培养的信息安全人才仅在5万名左右。上海一所高校的信息安全与管理专业开设10年,毕业生仅481人。
而与此同时,白帽子这一群体的变化和近两年中国网络安全市场的变化如影随形,“白帽子”日益被尊重,创业公司的热情日益高涨,即将正式施行的《网络安全法》也将彻底扭转中国网络安全市场无法可依的窘境。然而新的网络环境也日益凶险,近期“永恒之蓝”病毒的始作俑者黑客组织Shadow Brokers又发布了一篇声明,将从2017年6月开始公布更多0day漏洞,也许更多的“虫”会接踵而至。