作者:李扬霞
编辑:林觉民
在互联网世界里,有一群人手握“尚方宝剑”,他们发现漏洞、拆除隐患,修复着一座座赛博大厦的裂隙。他们普通又神秘,他们低调又热血,他们不忍心看到这个世界沉沦,这群人正是“白帽子”。
3月28日下午,天空湛蓝,阳光明媚,微风轻拂。从北新桥地铁出来走几步就到了人民美术文化园,这是庆祝补天漏洞响应平台十周年的活动现场,从全国各地赶来的白帽子们穿戴工整,早早涌进会场,期待着这次盛会的到来。他们中有见证补天库带计划的“平台初代白帽”,也有一直活跃在平台的传奇,还有代表未来的新生代。
他们三五成群站在一起,谈笑风生,交流着彼此的经历和技巧,分享着彼此的近况和想法。新白帽们的眼中充满了好奇和激情,而老白帽们则满怀着经验和智慧。人群中看起来有不少很稚嫩的脸庞,上前攀谈了一番,果然还是在读的大三学生,但是在网络安全的世界里他们没有年龄之分,在互联网世界很厉害的人,可能在现实中只是一个未成年的青少年。
在屏幕背后,他们都是一个个活跃在互联网江湖里的“ID号”,彼此之间大多只是通过网络进行交流,这一天他们从互联网世界里回归现实,相聚在一起。活动现场凳子加了一波又一波,还是抵不住人潮汹涌。
这是补天漏洞响应平台成立十周年,也是疫情之后,一次难得的让白帽子们走出家门,尽情交流释放热情的机会。
一、“库带”到“补天”
2013年,补天漏洞响应平台成立,这里就成了白帽子们聚集的战场之一,他们在这里向企业提交漏洞,守护互联网的安全。
“‘补天’原名叫‘库带计划’,大意是勒紧裤腰带,保护重要部位。”作为现阶段补天平台的负责人,田朋半开玩笑,因为名字实在有点庸俗遂改成“补天”,这才听起来高大上了点。
雷峰网见到这位代号“动物园喝咖啡第一名”的人物时,他首先第一句话就是“喝什么?”“咖啡?”
忍不住点点头......果然互联网人拼的就是谁更能“熬”。这个代号的由来是因为奇安信安全中心的位置在“动物园”附近,因此而得名。
他说自己熬过最长的夜是三天三夜,很多时候晚上才是真正的工作时间,一些安全业务都只能晚上进行停机更新,不能在白天影响正常生产业务。
天有隙,娲补天;软件有漏洞,补天来补救。“补天”成立的时候,国内外各种数据库泄漏严重,有时是由于企业内部的安全漏洞或疏忽,有时是由于黑客的恶意攻击。当时还没有现在各大SRC(漏洞响应平台),甚至鲜有白帽子的说法,所谓的网络安全行业就是一片蛮荒之地。
最开始国内的漏洞平台只有乌云一家,但是乌云模式饱受争议,如果官方来认领就有几个月的修复和公开时间的缓冲,不认领就立马公开,所谓“乱棍打死老师傅”,这让企业很头疼,企业对白帽子们是又恨又怕。“补天”采取完全不同的方式,坚守“一不炒作,二不要挟,三不全网公开”的三不原则,并开创性的用现金悬赏的方式征集开源建站系统漏洞,号召白帽子们帮助厂商发现并修复网站漏洞;承诺永不公开漏洞,漏洞无偿提供给官方,不处理再同步给监管单位。
“补天”的成立一方面肃清了行业风气,缓和了厂商和白帽子们之间剑拔弩张的关系;另一方面推动了国内互联网安全的健康发展。
田朋向雷峰网描述,Carry_your就是前几批在“补天”平台注册的白帽子之一,他一直稳居补天平台总排行榜top3,厂商对他的奖励将近百万,成为众多白帽子心中的榜样。在这之前,他已经深挖了三年的漏洞。最早Carry_your挖掘一个漏洞大约价值80块钱,比现在许多挖洞“菜鸟”还要低,当时他一年在补天平台挖洞的收入大概是两万元左右。
好在他坚持了下来,在2014年向“补天”提交了包括清华、北大、复旦等200多个高校的漏洞后,拿到了进入补天当实习生的门票,后来正式成为了漏洞审核员。虽然呆了两年之后,他并没有在补天继续工作,但是这些年还一直活跃在补天平台,仍然坚持不懈提交漏洞,甚至在补天白帽大会拿到前十的荣誉。
在补天运营小姐姐建立的一个“补天十岁啦”的群聊中,Carry展示了下面这张能够证明他辉煌战绩的荣誉。
田朋评价Carry_your:“生产力非常强悍。”因为很多白帽子从学校走出来,工作之后就越来越忙,没有更多精力钻研技术了,或者是先放一放技术,去搞管理、搞业务。但是Carry_your相当于是两手抓,两手都要硬,一直都没有放。
网络安全本身就是一个小圈子,在过去网安人才的培养大多是自学,要么就是“传帮带”,师傅带徒弟,但是通过这样的方式培养出来的人才数量有限。
而与许多组织团体不同,“白帽子”是个更为松散的群体。“随着技术的发展,网络安全的进步是非常快的,尤其攻防知识的更新速度是非常快的。你不能用去年的方法打败今年的你自己,因此需要不断而且快速的学习。对于刚刚入行的白帽子而言个人的力量是有限的,因此需要更多的人帮助,能够融入一个志同道合的社群,大家共同研究、学习,才能快速的成长和发展。”田朋如是说。
补天为白帽子们搭建了一个可以交流分享的平台。成立10年来,补天已经成为全国影响力最大的漏洞响应平台,同时也是最活跃的网络安全从业者交流平台之一。截止2023年3月,平台注册白帽子已达108000余名,累计为33万多家企业报告的漏洞超过112万个。
在这次十周年的活动中,新老白帽齐聚,有技术分享,也有走心成长分享,互动游戏等环节,这是一个交流最新安全技术的分享会,也是一个白帽子们联络感情,形成良好社区生态和氛围的盛会。在社区中,白帽子们不仅能够获得大咖的技术指导,还能够结交更多志同道合的伙伴,为自己的职业发展和成长打下坚实的基础。
从以前只有几个人的“库带计划”到如今兵强马壮的补天平台,这就像是一个勇士从低级别的小怪物升级到击败强大的Boss。他不断学习新技能,获得更强大的装备,与其他勇士结盟,一起应对更大的挑战。最终,取得了成功。
二、做“难而正确的事情”
“补天”的成长之路跟随着整个网络安全行业发展而前进,而唯一不变的核心只有三件事:维护企业网络安全、降低漏洞被利用的风险、培养网络安全人才。
2013年到2016年是补天的初创阶段也是整个网络安全的初始阶段。彼时移动互联网迅速崛起,移动互联网网民从2亿人迅速增长到10亿人,大量的用户信息被接入了移动互联网,用户呈指数倍增长的背后数据泄漏的风险也成倍增长。恶意攻击者可以通过漏洞,窃取用户信息、篡改页面内容,甚至瘫痪整个网站的服务。
而正在为移动互联网带来便利而狂欢人们,很少关注到这背后的网络安全问题。当时的网络安全行业处于野蛮生长阶段,关于漏洞的问题也没有标准和规范可以参考。因此基本上是 Copy to China,学着美国的方式去公开披露漏洞,但是国家与国家之间的实际情况不同,在互联网上公开披露漏洞的同时,也会让不法分子掌握更多信息,不管是互联网公司、科技公司抑或是一些关键技术设施单位,都会面临巨大的安全风险。
补天漏洞响应平台也在这一环境下摸索着成长,只能说不求有功但求无过。
2015年前后,随着国家顶层规划落地,监管加强,互联网安全的蛮荒时代很快就过去。例如2014年成立中央网信办;2016年信息安全这一学科从选修变成了一级学科;2017年《网络安全法》施行......白帽子们炫技的时代过去了,大家需要在法律的边界内进行工作,以合法合规的方式和手段守护网络世界的安全。这段时间是这一行业成长最快速的一段时间,也是补天平台飞速发展的一段时间。
在这期间,补天陆续推出了补天公益 SRC (白帽子随机发现漏洞,平台发布漏洞招领,企业免费认领漏洞)、企业专属 SRC(企业自助发布漏洞悬赏,白帽子有偿提交、平台协助审核漏洞)、众测服务(面向有一定行业地位的大中企业、机构等,定向服务客户、定向邀请白帽子、众测过程监管、提供专业修复意见)等。并通过奇安信攻防社区、补天白帽大会、“补天杯”破解大赛、补天城市沙龙、补天校园行,搭建安全从业者开放、分享、成长的平台。
在补天漏洞平台,对于有安全需求的企业,可以随时入驻补天。补天一方面对接有需求的企业,另一方面对接民间的白帽子,在一定程度上属于公益性质的众包平台。补天平台的收入来源是众测,为大中型企业提供定制化的漏洞检测服务,但常常入不敷出,因为背靠奇安信,在补天公益 SRC这个项目上也会获得一些资金支持。
在公益 SRC项目中,白帽子们随机发现的漏洞,补天会鼓励提交给平台,平台自己以送周边礼品或积分的方式回馈白帽子,鼓励白帽做了正确的选择;另外一部分是帮助企业在平台建立专属 SRC,企业发布悬赏,目前已经有近100家企业SRC托管在补天平台上。
“虽然奇安信是一家商业公司,但是在补天平台运营这件事情上,老板(齐向东)最主要考虑的事情是动员一切可以动员的力量,减少漏洞泄露的风险,同时为我们国家网络安全人才培养添砖加瓦。”田朋说,即便厂商会给我们一些服务费,我们也全部拿去给白帽子们发奖金,或补到一些线下的公益活动中。
对于当时正处于极速发展期的公司来说并不十分容易,但无比正确。
2016年,补天把传统的渗透测试服务进行创新,升级成了“众测”的服务模式,这种模式相对来说又扩大了白帽子们施展身手的场地。传统的渗透测试服务模式,就是企业雇佣两三个人到现场进行漏洞检测,按天算钱,但是实际检出的效果以及效率并没有那么好。众测模式是模拟攻击者的视角,以大兵团作战的方式,从补天平台10万个白帽子中召集200个人,集众人之力,通过竞争式的漏洞挖掘达到目的。而众测模式,讲究的就是一个“先到先得”,一般只会奖励第一个挖出漏洞白帽子。这种拼手速的模式其实对于白帽子来说是更加平等和友好的。
据田朋介绍,只要进入平台前200名的白帽子,出去面试找工作都会容易很多,因为这是实力的证明,在真实的攻防环境中展现出来的实力。
2013年-2023年,十年来在补天平台奖励计划数量增加10多倍、补天发放奖金增长近200倍、白帽提交漏洞数量增长700多倍、白帽子数量增长800多倍。
当问及,十年来补天做对了哪些事情,田朋告诉雷峰网:一来是独家开创了事件性漏洞报送模式,这跟海外报送漏洞的模式不同,例如有些漏洞因为只存在于一个具体的网站或者信息系统,这一点中国当时遇到的网络环境、监管体系、文化背景跟是海外不一样的;二来是推广SRC,把白帽黑客的力量引入到企业安全检测服务里,拓宽了SRC行业;再者就是安全社区的建设,通过一系列公益活动让白帽子们能够有平台交流学习。
其实,总结看来,十年来补天干的一件事,就是为白帽子提供了一个将发现的漏洞报告给企业的途径/平台,这有助于企业及时发现和修复漏洞,提高系统安全性。
田朋认为,之所以做这件事情把白帽子和企业拉在一起,是因为双方有认知偏差:企业对白帽子的猜想是会不会不守规矩干坏事,而不是第一时间关注安全漏洞暴露的风险;而白帽子会觉得企业不认可我的价值,我肝了一晚上挖出一个漏洞被企业找借口忽略。补天这个平台就是为了帮助大家拉齐共识,通过设立奖励计划,给予安全研究者一定的奖金和声誉,以激励他们持续关注网络安全并报告漏洞。即使不赚钱且很困难也要坚持做下去,这是一件有意义的事情。
三、保持热情、责任、自由
为什么补天漏洞平台能聚集这么多的白帽子?白帽子一方面看中平台对漏洞认可;另一方面看中平台对个人价值的认可。
补天漏洞响应平台从成立到现在,一直是漏洞赏金最大方的平台,目前补天平台累计发放漏洞奖金过亿元。补天漏洞响应平台最让白帽子们有安全感的一点是不对外公开披露任何漏洞,这种保护是双向的,对于企业和白帽子们是一种很好的机制,既守护了厂商的系统安全,也让白帽子们减少了和企业产生摩擦的风险。目前“补天”平台要求企业三天内确认完漏洞,30天内给出修复补丁,之后根据企业自己业务节奏和实际情况进行维护打补丁。
很多白帽子因为认可补天的理念而加入进来。
其实白帽子们挖漏洞提交给厂商或者漏洞平台赚钱远比黑产赚钱要难的多也要慢的多。安全行业的人熟知,挖到一个漏洞在正常的厂商和平台这里能换来的价值最多也就是几万块钱,如果卖给黑灰产很可能拿到10倍甚至100倍之多的报酬。
白帽子无时无刻不在面临着利益超出百倍的“诱惑”。相对黑产而言,白帽子是一群弱势群体。“白帽子”的行为必须合法,无论你的动机好坏,行为不合法,那就不是“白帽子”。他们只能种种规则下,尽自己所能守护网络安全。
黑客就像古代的剑客一样,懂得武林绝学,手中握着上古神剑,而使用这把剑,成为忠肝义胆、锄强扶弱的侠客才是白帽子们内心的选择。他们一腔热血、一心向善,身处黑暗却做着守护光明的事情,他们是网络世界白与黑的交集,他们希望利用自己掌握各种“秘密武器”,帮助企业找到漏洞修复问题,对抗黑客,他们是真正的网络世界守卫者。
这个群体是可信任的,他们只是像你我一样的普通人,是大学生、中学生、从事网络安全的相关人员,抑或是一个开民宿的老板,只是无意间发现了平台系统的漏洞变成为了一名白帽子。他们的背景非常简单、干净,但是企业和社会难免对这个群体还是带有一些偏见。
2021年12月16日“冬奥网络安全卫士”招募启动,这对于所有白帽子群体来说是一次巨大的认可。补天漏洞响应平台开创了国内首次公开招募白帽子为奥运保驾护航的先例。
在这次招募中白帽子主要是协助网络安全信息系统排查短板、挖掘相关漏洞以及收集网络安全情报信息等工作,经过层层选拔的冬奥网络安全卫士24小时在线,发起超过2000万次测试请求,测试总时长超过1万小时,成功发现了大量有效系统漏洞和冬奥相关威胁情报,为保障冬奥会网络安全发挥了巨大作用。
田朋认为,白帽子们有一个很典型的优点,他们活跃在互联网上,具备高超的攻击技术,很了解攻击者。补天就想集全国乃至全球白帽之力,为保障冬奥会的网络安全做贡献。
对此,中央网信办冬奥会网络安全专家研判组组长、中国工程院院士方滨兴给予了高度肯定——“白帽子作为冬奥网络安全卫士的突出表现,也证明了白帽子群体是可信任的、可管理的,同时更是有能力的、有水平的。”
他们是幕后英雄。田朋说:“希望白帽子们能一直坚守自己的内心,保持热爱、责任、自由。”
四、理想主义的“补天英雄”
对于一个漏洞平台或者白帽子社区,到底能为白帽子提供什么?奖金、学习成长的环境、道德的引导、未来的职业规划、使命感的形成等。以上这些能力都重要,但更重要的是实战能力的培养。
网络安全实战化时代,高水平的网络安全人才已经成为稀缺资源、抢手资源。在网络安全行业有一句话“安全讲百遍不如打一遍”,实战化能力只有在网络对抗中才能提升。
一个优秀的白帽子,可能从他的初中、高中时期就对网络安全产生了一定的兴趣,因为这是一个综合能力,要了解计算机基础网络安全架构,自己不锚定学习3-5年,根本不可能学出来。田朋说:“由于自学网络安全或者挖漏洞是很困难的,一个深度测试人才或者攻防人才成长最快的一条路就是大家一起交流学习,我们尽可能把行业里边合作伙伴聚集起来,给大家提供更多的福利和便利,让大家能在这条路上坚持下来。”
2021年有一个初中生的小白帽,为了参加补天的线下白帽大会,跟他父母“打保票”,一定好好学习考上衡水中学。如今他已经成为了衡水中学的一名高中生。
像这样的例子还有很多,这些小白帽们还没有对世界形成完整全面的认识,很容易走偏。补天又是怎么引导?为了不让白帽子变黑帽子补天又做了哪些事情?
对于初高中生,他们正是树立世界观的时候,一旦发现漏洞,很容易出现炫技的心理,对漏洞进行公开。补天这个时候鼓励他们把漏洞提交过来,通过平台给他们提供一些积分和周边礼物。只要接触到这些用户,就一定会给他们做一些安全测试规范、法律法规等科普,这些事情是完全公益的。
在培养实战性人才方面,补天还通过提供真实的训练环境,开放实战工具箱和资源,定制专属课程、顶级白帽黑客进行技术教学。在田朋看来,能为白帽子们提供实战化的成长平台,主要由于奇安信有很多客户,如果这些客户有众测的需求,平台的白帽子们就能得到一次实战演练的机会。
对于入选众测项目的200名白帽子,补天一方面会考验其技术能力;另一方面做好背景调查和社会关系认证,防止有真正的黑客混进来。
为了帮助实战化白帽更好地成长和发展,让白帽子们了解自己的实战能力,补天平台还于2021年发布了首份“实战化白帽子能力图谱”。图谱将白帽子的实战化能力从低到高依次分为基础能力、进阶能力和高阶能力,是国内首个让白帽子们有标准的能力参考体系的图谱。在十周年活动现场,补天又联合联合爱奇艺安全应急响应中心、度小满安全应急响应中心、华为安全应急响应中心、快手安全应急响应中心、美团安全应急响应中心、陌陌安全、OPPO安全应急响应中心、奇安信集团安全应急响应中心、赛博昆仑、腾讯安全应急响应中心、网易安全中心、微博安全、小米安全中心、字节跳动安全响应中心、BOSS直聘安全应急响应中心、斗鱼安全应急响应中心、货拉拉安全应急响应中心、平安安全应急响应中心等18家联合发布《中国实战化网络安全人才能力白皮书》起草,这对于拓宽报告的应用范围、为网络安全人才发展及能力培养提供重要参考和依据发挥了重要作用。
田朋表示:“以前我们自己来写,肯定会有安全公司的局限性,今年把互联网公司拉进来以后,整个报告的知识面和受众范围都会有所拓宽。加上互联网平台会更加开放,也会提供更多的实战环境。”
此外补天还发布全新改版上线专属SRC产品,推出针对个人、团队的专项奖励活动,激励个人、团队白帽不断深入研究、成长,鼓励白帽人员通过实战和交流提高自己的技术和素质,推动网络安全行业的发展和进步。
当前,培养白帽子等漏洞挖掘人才、做好漏洞资源管理,已成为各国的共同选择和发力方向。未来漏洞响应平台的竞争将是白帽子人才之间的竞争,平台不仅要吸引留住老的白帽子还要培养新的生力军。
有专家曾在一篇文章中说到:“平台不仅要传递正确价值导向,还要能够代表群体发声,只有具有使命感和责任感的平台才能得到大家的支持,笑到最后。大家也在等待新的‘英雄诞生’。”
十年过去了,补天漏洞响应平台已经成为了全球计算机安全行业的佼佼者,拥有了庞大的成员和资源。但不管如何发展,他们始终保持了一份当初的初心,怀揣着理想与责任一步一个脚印,坚守在公益第一线,保护更多人的网络安全和隐私。
补天平台是不是真的“补天英雄”,只能放眼到整个历史的长河留给后人评判。