【深度访谈】白帽&众测平台,合作共赢之道
2025-1-2 02:25:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

《科技博弈论》是一家聚焦“前沿科技赋能实体产业”和“科技产业出海”,邀请“科技企业、行业专家、科研学者、科技大V”分享交流,搭建“全球华人科技圈子”的交流平台。
往期精彩专访包括:贵州大数据安全工程研究中心主任杜跃进《从数字经济安全背后的困境,看我国科技发展的未来》、全球创新中心总干事赵刚《全球科技发展趋势,人工智能与科技政策》等。

近期,360漏洞云总经理胡晓娜受邀参与知名科技媒体《科技博弈论》的专访,深度探讨信息时代白帽黑客与众测平台的合作共赢。在这次讨论中,深入探讨了网络安全领域的发展、人才需求、技术创新以及产业趋势。

强调了“白帽子”黑客在网络安全中的核心地位,以及随着网络安全成为一级学科后,每年大量毕业生为行业注入了新鲜血液。尽管如此,实际就业市场与人才需求之间仍存在差距。技术领域的扩展不仅限于漏洞挖掘,还涵盖了白盒审计、渗透测试等多种方向。政策环境的改善,如网络安全法的实施和相关人才奖励制度,提升了网络安全从业者的社会地位。技术创新,如众测平台的运用,提高了安全检测的效率,并为技术从业者开辟了新的职业道路。

最后,对于未来政策的支持与创新人才培养的期待,旨在促进网络安全行业的健康、持续发展。

网络安全领域发展及政策支持

网络安全领域经历了从兴趣驱动到市场化驱动的演变,法律法规及政策环境的改善推动了行业和商业市场生态的成长。随着专家数量的增加,人才在细分领域的研究和实践更加丰富,国家对网络安全人才的认可也在逐步提升。

白帽子群体获得了更多政策支持和官方认可,如光华科技人才奖的设立,以及对网络安全人才的税收优惠等,这些措施有助于激励和认可网络安全人才的贡献,促进行业的健康发展。

新型劳动力模型与传统安全服务的区别

众包模式代表了新型劳动力模型,它打破了传统安全服务中项目交付天花板的限制,在提高安全服务质量方面展现出明显优势。通过引入白帽子和技术手段,该平台帮助厂商识别和修复软件漏洞,同时保障项目的安全和透明。平台通过技术审计和项目管理等手段,将传统的黑盒渗透测试转变为白盒审计,提高了漏洞发现的可控性和效率。

传统安全服务依赖于有限的人力和技术水平,而众包模式则利用大量且按结果付费的团队进行渗透测试,技术水平没有上限,能够调动更多人才参与,针对不同行业和资产配备相应工具,实现更全面的技术覆盖和深入业务逻辑的挖掘。众包模式下的团队可以灵活组合不同领域、不同技术水平的专业人士,弥补单个团队的技术短板,并且针对不同行业有深入的业务理解和资产特性,这是传统安全服务难以比拟的。

此外,该模式通过竞争悬赏机制鼓励安全研究员积极提交漏洞,有效避免了漏洞隐瞒的问题。通过这种新型的劳动力模型,平台不仅促进了技术人才的价值发挥,也为客户提供了高效且可靠的安全服务,形成了良好的市场正向循环。与传统的买人头、依赖少数人技术的模型相比,众包模式能够集合更多人的智慧和技术,从而无上限地提升项目交付的质量。

这种模式允许根据结果和效果付费,激励有能力的个人积极贡献。此外,众包模型能够针对不同行业和资产提供定制化的服务,展现出相比传统安全服务更加出色的结果。

网络安全人才的培养与社会价值

目前,网络安全行业的注册人数已经从早期的两三万、三四万增长到现在的十几万人,随着2017年和2018年网络安全一级学科的设立,每年能毕业的本科网络安全专业学生数以万计,形成了庞大的人才输出基础。

在网络安全领域,挖洞高手能够获得丰厚的经济回报,从百万年薪到千万奖金不等。这个群体大多数通过自学成长。

初学者通常从观看教学视频开始,逐步学习利用工具和技术进行漏洞挖掘,从众包平台的实战演练开始,这些平台为全网的网站、APP、小程序等提供漏洞检测服务,收益虽不高,但为学习和实践提供了平台。

随着技术的提升,一些高手能进入白盒审计领域,挖掘更为复杂的漏洞,从而获得更高的奖金。

有一定实战经验的累积后,将通过专门的技术服务为大型企业进行漏洞测试,年收入轻松破百万。

此外,团队协作也成为提高挖洞效率和收益的重要方式,团队成员根据各自擅长的领域进行分工,共同完成复杂的漏洞挖掘任务。

并非所有毕业生都能立即胜任漏洞挖掘或黑客工作,实际上掌握这项技术的人只是其中一小部分。现在很多学校通过产教融合等方式进行定向培训,帮助学生积累针对性的技术专长。建议从业者根据性格、擅长和专业能力去做职业规划,可以考虑技术路线,也可以选择如合规、运营、售前等非技术路线,甚至可以从事市场、安全咨询和规划师等工作,通过多方向为我国网络安全的发展做贡献。

是否有零日漏洞开源共享平台,是如何运作的?

国际上有知名的漏洞赏金平台如ZDI,而国内也有首个关注零日漏洞开源共享平台BugCloud。该平台在上线第一周时,比ZDI定价高15%,因此收到了大量零日漏洞提报,首批收录了三百多个,在业内产生了较大轰动。

如何限制和规范网络安全人才的行为,防止他们流向黑灰产?

主要依靠国内法律法规的政策环境,包括网络安全法等相关法律的落地,以及社会使命感和责任感的引导。同时提供良好的市场环境和充足的社会价值实现途径,让人才倾向于合法就业。

我们不直接与黑灰产竞争,而是通过人才政策环境、正向激励以及社会责任感的引导来吸引人才从事网络安全行业。网络安全行业人才的技术是有社会价值的,他们通过发现并修复漏洞来提升网络安全基础防护能力,减少企业因安全事故造成的损失,特别是在中小企业和技术关机领域中发挥重要作用。

同时希望白帽子黑客在发现可能对社会造成严重影响的漏洞时,能将这些漏洞留在国内处理,以防造成国家层面的安全问题。

AI大模型是否可替代白帽进行漏洞挖掘?

AI技术确实能显著提升漏洞挖掘效率。比如,以前一个月可能只能挖掘5个漏洞,而现在有可能达到50个。一些非安全背景出身的人也能通过AI辅助工具初步了解并参与漏洞挖掘工作。

整体来看AI大模型暂时还不能完全替代白帽子进行漏洞挖掘。白帽子发现的漏洞往往是逻辑性漏洞,并且从漏洞爆发到形成检测规则并加入安全产品的时间窗口较长,约为4到8个月,这段时间是空窗期,非常危险。

网络安全行业的发展愿景

过去几年间,政策环境和业务环境都得到了显著改善。以前可能存在顶尖漏洞流出国内用于黑灰产的情况,但现在有了更健康的商业化空间,使得安全专家和白帽子可以通过合法途径将漏洞转化为商业价值,这对整个供应链体系的价值提升巨大。

希望未来能有更多的安全专家自发地为企业发现风险,当社会普遍达到内生安全,不再需要专门派人去找活,那时网络安全行业发展就进入了稳定而自发的阶段,这是我们共同期待的愿景。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg5MTc5Mzk2OA==&mid=2247502065&idx=1&sn=b2761990f2174e3a70fb41bdee31d101&chksm=cfc56faef8b2e6b82006a3612a14598ba0eba1e8a8d6e6e4e17a0bcc299521138aa9bdb276ae&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh