5月12日起,利用Windows漏洞傳播的“永恒之藍(lán)”勒索蠕蟲(chóng)在全球范圍內(nèi)大規(guī)模爆發(fā),影響近百個(gè)國(guó)家上千家企業(yè)及公共組織,我國(guó)至少有29372個(gè)機(jī)構(gòu)遭到這一源自美國(guó)國(guó)家安全局網(wǎng)絡(luò)武器庫(kù)的蠕蟲(chóng)病毒攻擊,保守估計(jì)超過(guò)30萬(wàn)臺(tái)終端和服務(wù)器受到感染。該事件是“沖擊波”病毒發(fā)生以來(lái),14年一遇的嚴(yán)重網(wǎng)絡(luò)安全攻擊事件。
“永恒之藍(lán)”為網(wǎng)絡(luò)安全再次敲響了警鐘,也讓人們?cè)俅尉劢乖谶@一領(lǐng)域潛伏多年的“白帽子”。《IT時(shí)報(bào)》記者對(duì)話多位“白帽子”,他們中有從事安全領(lǐng)域十幾年的“老司機(jī)”,也有正值青春的“小鮮肉”,他們的經(jīng)歷,正是近年來(lái)中國(guó)網(wǎng)絡(luò)安全變化的軌跡,也是Hacker(黑客)成長(zhǎng)變遷的縮影。
6月1日,《網(wǎng)絡(luò)安全法》正式實(shí)施,這一網(wǎng)絡(luò)空間的基本法出臺(tái)將為“白帽子”畫(huà)一條明確的底線。
招安篇:“前半生做賊,后半生抓賊”
Hacker(黑客)這個(gè)詞本無(wú)貶義,但在中國(guó)人的認(rèn)知中,硬是將黑客分為正邪兩派:幫助企業(yè)找漏洞的“白帽子”和職業(yè)破壞者“黑帽子”。在黑客這條路上,學(xué)歷從來(lái)不是障礙,中專(zhuān)肄業(yè)的曾穎濤未成年就在黑客圈小有名氣。
1997年出生的曾穎濤外號(hào)“毛毛”,今年剛滿20歲。小學(xué)時(shí)因?yàn)榇蛴螒蜷_(kāi)始了解外掛和病毒,初中癡迷電腦的他干脆放棄高中,報(bào)考了廣東惠州一家中專(zhuān)學(xué)計(jì)算機(jī),是學(xué)校有名的電腦“瘋子”。
曾穎濤言語(yǔ)極少,性格靦腆,骨子里有著一股瘋勁和狂熱。在學(xué)校就讀時(shí),他發(fā)現(xiàn)了學(xué)校網(wǎng)站的一個(gè)漏洞,并將漏洞報(bào)告給了老師。然而等到快畢業(yè)時(shí),他發(fā)現(xiàn)漏洞仍在,“有點(diǎn)生氣,就起了惡作劇的心理,利用當(dāng)初發(fā)現(xiàn)的漏洞黑掉了學(xué)校的網(wǎng)站。”正是因?yàn)檫@次惡作劇,他被學(xué)校退學(xué),成了肄業(yè)生。
2015年,在家自學(xué)的“毛毛”看到一個(gè)旨在挖掘互聯(lián)網(wǎng)安全人才的“神話行動(dòng)”海選,他一路過(guò)關(guān)斬將,成功入圍。2015年底,時(shí)年18歲的“毛毛”發(fā)現(xiàn)漏洞,破解了沃爾沃、比亞迪、別克三種品牌部分車(chē)輛的防盜系統(tǒng),實(shí)現(xiàn)了1分鐘無(wú)鑰匙開(kāi)鎖,引起不小的轟動(dòng)。后來(lái),曾穎濤進(jìn)入有名的360獨(dú)角獸團(tuán)隊(duì),靠著挖漏洞找到一份薪水豐厚的工作。
年前,靠挖漏洞就業(yè)的人還不多,但現(xiàn)在,曾穎濤所熟知的圈里的黑客們,大多進(jìn)了安全企業(yè)。
“前半生做賊,后半生抓賊,”360安全監(jiān)測(cè)與響應(yīng)中心負(fù)責(zé)人趙晉龍如此總結(jié)他的“白帽子”生涯。2003年,中國(guó)家用PC迎來(lái)爆發(fā),很多家庭有了PC,那時(shí)趙晉龍正在讀初中,成為中國(guó)較早接觸黑客技術(shù)的一批人。
當(dāng)時(shí)中國(guó)對(duì)網(wǎng)絡(luò)安全的概念很模糊,“辦個(gè)論壇都可能被說(shuō)成是傳播黑客工具”,不像現(xiàn)在競(jìng)賽滿天飛,野心勃勃的黑客們可以有安全的地方自由炫技。
大學(xué)畢業(yè)前,趙晉龍?jiān)谌ψ永锸亲龉簦追Q(chēng)“找漏洞的人”。畢業(yè)后一直從事安全廠商的網(wǎng)絡(luò)防護(hù)工作,“攻”“守”身份互換多年,現(xiàn)在趙晉龍已經(jīng)不大愿意提起過(guò)往的歲月,現(xiàn)在他的工作是負(fù)責(zé)抓入侵者。以前把漏洞找出來(lái),再告訴對(duì)方怎么修復(fù)即可,現(xiàn)在考慮更多的則是怎么防護(hù),“還有誰(shuí)進(jìn)來(lái)?進(jìn)來(lái)干了什么?有什么目的?”
像曾穎濤、趙晉龍這樣的白帽子大多進(jìn)了安全企業(yè),這也是中國(guó)大部分白帽子選擇的歸宿。
創(chuàng)業(yè)篇:“每半年報(bào)價(jià)就漲三成”
當(dāng)然,也有那么一群不安分的“白帽子”選擇了創(chuàng)業(yè),他們沒(méi)丟老本行,選擇在安全領(lǐng)域里“自立門(mén)派”。
2015年底,姚威和幾個(gè)小伙伴一起創(chuàng)立了廣州凌晨網(wǎng)絡(luò)科技有限公司,幫助企業(yè)解決業(yè)務(wù)、資產(chǎn)及應(yīng)用中的安全風(fēng)險(xiǎn),包括互聯(lián)網(wǎng)資產(chǎn)歸屬、持續(xù)威脅檢測(cè)、敏感信息檢測(cè)、風(fēng)險(xiǎn)預(yù)警等。作為一名資深“白帽子”,在公司的主營(yíng)業(yè)務(wù)之外,他依然從事“挖漏洞”的工作,曾連續(xù)三年帶領(lǐng)團(tuán)隊(duì)發(fā)表關(guān)于中國(guó)公共Wi-Fi安全的研究報(bào)告。
2013年以后,在政策和安全事件的雙重驅(qū)動(dòng)下,網(wǎng)絡(luò)安全地位越來(lái)越高,安全領(lǐng)域新增的初創(chuàng)公司也越來(lái)越多。每年都有二三十家創(chuàng)業(yè)公司涌進(jìn)網(wǎng)絡(luò)安全市場(chǎng),呈現(xiàn)出爆發(fā)式的狀態(tài),目前國(guó)內(nèi)安全公司已經(jīng)達(dá)到三四百家。越來(lái)越多的安全事件讓姚威這樣的初創(chuàng)企業(yè)嘗到了甜頭,創(chuàng)業(yè)以來(lái),每半年公司服務(wù)的報(bào)價(jià)和成交額都會(huì)有一定的上漲,漲幅約為20%-30%,姚威向記者透露,每次安全事件以后,會(huì)有很多生意自己找上門(mén)。
第三方研究機(jī)構(gòu)Gartner報(bào)告顯示,我國(guó)企業(yè)級(jí)網(wǎng)絡(luò)安全需求巨大,目前在國(guó)家工商總局注冊(cè)的企業(yè)數(shù)超過(guò)1100萬(wàn)家,絕大多數(shù)企業(yè)均已接入互聯(lián)網(wǎng),但卻缺少安全可靠的IT系統(tǒng)。隨著企業(yè)網(wǎng)絡(luò)安全意識(shí)的覺(jué)醒,企業(yè)級(jí)網(wǎng)絡(luò)安全市場(chǎng)變成千億級(jí),甚至萬(wàn)億級(jí)別的大藍(lán)海。
和姚威一樣,林榆堅(jiān)也轉(zhuǎn)向了創(chuàng)業(yè)。高中時(shí),林榆堅(jiān)就是一個(gè)經(jīng)驗(yàn)豐富的白帽子,大學(xué)畢業(yè)后進(jìn)入百度,2012年跳出互聯(lián)網(wǎng)公司選擇創(chuàng)業(yè),成立安賽科技。林榆堅(jiān)對(duì)“白帽子”的稱(chēng)呼不太感冒,他信奉的是“勿以漏洞論英雄”,認(rèn)為“防護(hù)比攻擊要困難得多”。
在林榆堅(jiān)看來(lái),大多數(shù)網(wǎng)絡(luò)安全人員90%的時(shí)間都在從事防護(hù)方向的工作,“比如面對(duì)永恒之藍(lán),怎么去建立防護(hù)、降低危害、恢復(fù)數(shù)據(jù),比利用NASA泄露的漏洞攻擊別人要困難得多。”
翻身篇:“頂級(jí)‘白帽子’身價(jià)八位數(shù)”
曾經(jīng),即便是“白帽子”,也帶著一層曖昧和隱晦的色彩,部分白帽子經(jīng)常游走在法律邊界,一不小心就會(huì)“踩線”。一方面漏洞在黑市的價(jià)格很高,另一方面則是無(wú)法可依,紅線也不明確。2016年11月,全國(guó)人民代表大會(huì)常務(wù)委員會(huì)頒布《網(wǎng)絡(luò)安全法》,2017年6月1日起施行,這一網(wǎng)絡(luò)空間的基本法出臺(tái)以后,白帽子不能踩的那條線就明確了。
“白帽子注冊(cè)平臺(tái)的時(shí)候有明確協(xié)議,不炒作也不披露漏洞,只是提醒企業(yè)修復(fù),如果企業(yè)沒(méi)在平臺(tái)注冊(cè),也只會(huì)公布標(biāo)題,比如某公司有某種類(lèi)型的漏洞。”補(bǔ)天平臺(tái)負(fù)責(zé)人白健被白帽子稱(chēng)為“白掌門(mén)”,他負(fù)責(zé)的補(bǔ)天平臺(tái)上,白帽子主要都是企業(yè)信息安全人員,同行中安全公司技術(shù)人員以及學(xué)生信息安全愛(ài)好者,大多有著雙重身份,“就像蜘蛛俠彼得·帕克一樣,平時(shí)是日?qǐng)?bào)社的記者,當(dāng)大家遇到威脅時(shí),就搖身變?yōu)榇笥⑿邸?rdquo;
法律把“挖漏洞”這件事從灰色地帶放到光明地帶,白帽子的生存環(huán)境正變得越來(lái)越好,隨著法律改變的還有薪水。2013年之前,安全人員的平均薪水只是與IT行業(yè)其他工種持平。2013年“斯諾登事件”之后,薪水開(kāi)始水漲船高。2012年,一個(gè)最普通的安全研究員月薪是5000-8000元,“現(xiàn)在,網(wǎng)絡(luò)安全人才成為香餑餑,一些頂尖人才的身價(jià)已經(jīng)炒得很高了,互聯(lián)網(wǎng)公司給出的年薪(現(xiàn)金+股票)達(dá)到了千萬(wàn)元級(jí)別。”白健感慨道。
根據(jù)能力不同,有技術(shù)的白帽子身價(jià)在幾十萬(wàn)到幾百萬(wàn)不等。薪水上漲的同時(shí),“挖漏洞”得到的獎(jiǎng)勵(lì)也越來(lái)越豐厚,“現(xiàn)在行業(yè)內(nèi)很多公司的SRC(安全應(yīng)急響應(yīng)中心)都非常健全,通過(guò)黑客技術(shù)挖到的漏洞都有人收。”姚威告訴記者。在補(bǔ)天平臺(tái)上,發(fā)放的“懸賞”獎(jiǎng)金總額達(dá)到了870萬(wàn)人民幣。
“通過(guò)陽(yáng)光手段能掙到錢(qián),監(jiān)管又很?chē)?yán),誰(shuí)愿意做壞事呢?”曾穎濤靦腆地說(shuō)道。
延伸閱讀
全國(guó)安全人才缺口50萬(wàn)
白帽子這一群體的變化和近兩年中國(guó)網(wǎng)絡(luò)安全市場(chǎng)的變化如影隨形,“白帽子”日益被尊重,創(chuàng)業(yè)公司的熱情日益高漲,即將正式施行的《網(wǎng)絡(luò)安全法》也將徹底扭轉(zhuǎn)中國(guó)網(wǎng)絡(luò)安全市場(chǎng)無(wú)法可依的窘境。然而新的網(wǎng)絡(luò)環(huán)境也日益兇險(xiǎn),近期“永恒之藍(lán)”病毒的始作俑者黑客組織Shadow Brokers又發(fā)布了一篇聲明,將從2017年6月開(kāi)始公布更多0day漏洞,也許更多的“蟲(chóng)”會(huì)接踵而至。
安全人才的稀缺與日益增長(zhǎng)的網(wǎng)絡(luò)安全市場(chǎng)需求形成了巨大的矛盾。
一份來(lái)自網(wǎng)絡(luò)安全服務(wù)平臺(tái)的調(diào)研顯示,中國(guó)內(nèi)地企業(yè)網(wǎng)絡(luò)安全管理與文化均落后于印度。內(nèi)地企業(yè)44%的網(wǎng)絡(luò)安全事件與數(shù)據(jù)泄露、員工操作不當(dāng)、安全意識(shí)薄弱等有關(guān),遠(yuǎn)高于全球16%的平均水平。根據(jù)《中國(guó)信息安全》雜志統(tǒng)計(jì),截至2020年,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)人才缺口達(dá)140萬(wàn)人,而目前每年高校培養(yǎng)的信息安全人才僅在5萬(wàn)名左右。上海一所高校的信息安全與管理專(zhuān)業(yè)開(kāi)設(shè)10年,畢業(yè)生僅481人。
“目前中國(guó)的網(wǎng)絡(luò)安全人才缺口很大”,白健告訴《IT時(shí)報(bào)》記者,補(bǔ)天平臺(tái)注冊(cè)白帽子3萬(wàn),實(shí)際上能夠有效提交漏洞的白帽子也就1萬(wàn)左右,而目前全社會(huì)的網(wǎng)絡(luò)安全人才缺口超過(guò)50萬(wàn)。很多漏洞平臺(tái)上的白帽子都是重疊的,如果不通過(guò)互聯(lián)網(wǎng),把現(xiàn)有的網(wǎng)絡(luò)安全人才復(fù)用起來(lái),根本無(wú)法滿足保護(hù)網(wǎng)絡(luò)安全的需要。
不過(guò)白健透露,補(bǔ)天平臺(tái)的白帽子增長(zhǎng)很快,每年大約增長(zhǎng)30%以上,并且目前的年齡分布高峰是在1995年前后,很多都是剛畢業(yè)的大學(xué)生,“說(shuō)明網(wǎng)絡(luò)安全后備力量正在逐步成長(zhǎng)。”
上海市信息安全行業(yè)協(xié)會(huì)宣傳主管張林才則認(rèn)為技術(shù)競(jìng)賽是一個(gè)有效發(fā)現(xiàn)人才的方式,“可能有些人學(xué)歷不高,但是一心鉆研技術(shù),水平很高,可以通過(guò)競(jìng)賽發(fā)現(xiàn)這部分人才。”不過(guò)張林才覺(jué)得在安全人才的培養(yǎng)中,需要注意德才兼?zhèn)洌?ldquo;雖然現(xiàn)在光明地帶的獎(jiǎng)金提高了,但是黑市的漏洞價(jià)格動(dòng)輒10萬(wàn)美元,誘惑還是很大,安全人員的職業(yè)道德很重要。”
京公網(wǎng)安備 11010502049343號(hào)