9月17日,由补天漏洞响应平台主办的2021补天白帽大会在北京举行。作为业内规模最大的白帽子安全盛会,本届补天白帽大会广邀网络安全专家、安全研究员、白帽代表和企业代表齐聚一堂,共同围绕卫星通信网络、云原生容器集群、智能汽车、反欺诈等前沿技术领域展开了研讨分享。
在大会开幕式致辞环节上,奇安信集团董事长齐向东谈到,2021年7月,工信部、网信办、公安部三部门联合发布了《网络安全产品漏洞管理规定》(以下简称《规定》),这个规定的正式实施也让今年的补天白帽大会与往届格外不同。《规定》第一次明确了漏洞管理应该从网络安全产品的视角出发,《规定》的正式实施是网络安全行业与今天在座每一位白帽子黑客来说,都是一件十足的大事。
齐向东指出,“过去企业产品出现漏洞时,厂家都习惯于隐瞒漏洞、拒绝漏洞、否认漏洞,导致漏洞长时间得不到解决。长此以往,随着数字化的全面铺开,漏洞一定会越来越多,一旦漏洞被利用也将会产品巨大的连锁反应。如果厂家继续向过去那样对漏洞视而不见,会让国家安全、社会安全都陷入巨大的危险境地。而随着《规定》的正式实施,捂盖子、掉链子这些行为将成为过去。”
《规定》要求厂家要积极承认,积极报告,积极修补漏洞,如果发现或者得知安全产品存在安全漏洞,应该立即采取措施对漏洞进行验证,评估漏洞的危害程度和影响范围。对于上游产品或者组件中存在的安全漏洞,也应该立即通知相关产品的提供方。这些要求将会推动厂商加大在漏洞管理上的投入,确保产品的漏洞在被利用之前得到及时的修补,以保障用户的权利,保护国家的网络安全。
此外,《规定》还将极大的激发民间白帽力量挖掘漏洞的积极性。“过去相关政策、法规对漏洞挖掘行为没有做出明确的指引,这也导致白帽子黑客们百无禁忌,免不了有人会因为挖漏洞的方法不得当而触犯法律。这就好比在迷雾当中行走,一不小心就碰到了高压线,非常不利于民间白帽子的成长。”
《规定》明确鼓励民间力量进行漏洞的挖掘工作,给漏洞的发现、收集、发布等行为划定了红线,对于该做什么、不该做什么都做出了明确的规定,白帽子在守住这些红线,就能够合法合规的条件下发挥自己最大的价值。《规定》将白帽子的行为正当化、合法化给白帽子提供了安全感。
此外,《规定》还鼓励厂家针对白帽子设立漏洞奖励机制,一些不具备漏洞挖掘能力的厂家,可以委托白帽子来帮助自己挖漏洞,让产品越来越安全,白帽子也通过自己的一技之长能够得到相应的回报,从而就能形成良性的循环,推动网络安全产业不断的壮大。
齐向东表示,《规定》还能够激发漏洞平台成长的积极性,在数字时代,厂商需要借助民间白帽子的力量,形成更强的合力来抵御不断向组织化专业化发展的黑产,但是海量的厂商和庞大的白帽子黑客之间建立稳定的联系是非常困难的。因此,一个专业高效的漏洞响应平台是至关重要的,它能够极大地促进厂商和白帽子之间有效沟通,节省漏洞发现和修复的成本,提高漏洞响应和处置的效率。漏洞管理规定的实施,应该说为漏洞响应平台提供了一个健康的成长的方向。根据《规定》,厂商要积极开展、积极开通接收漏洞信息的通道,这对漏洞响应平台的发展壮大会起到积极的引导作用,能够进一步的激发平台发展的积极性。
“补天一直致力于做最专业的漏洞响应平台,我们将根据《规定》的要求来不断优化平台,对民间白帽子进行正向的引导,同时帮助厂商建设和运营符合要求的产品漏洞数据平台,守住漏洞这条最重要的安全的防线。今年白帽子大会的主题是安全潮前看,这短短的5个字包含了补天8年来对安全的执着和推动产业发展的担当。”齐向东谈到。
在演讲最后,齐向东表示,奇安信希望在补天白帽大会上与白帽子们充分的交流、分享,让白帽子们在传承精神的同时,碰撞出新的火花。只要网安同仁们与白帽子携手并进,网络安全行业一定会迎来更加光明的未来。