白帽子黑客生存環境變好，頂級人才年入千萬

5月12日起，利用Windows漏洞傳播的“永恆之藍”勒索蠕蟲在全球範圍內大規模爆發，影響近百個國家上千家企業及公共組織，我國至少有29372個機構遭到這一源自美國國家安全域性網路武器庫的蠕蟲病毒攻擊，保守估計超過30萬臺終端和伺服器受到感染。該事件是“衝擊波”病毒發生以來，14年一遇的嚴重網路安全攻擊事件。

“永恆之藍”為網路安全再次敲響了警鐘，也讓人們再次聚焦在這一領域潛伏多年的“白帽子”。《IT時報》記者對話多位“白帽子”，他們中有從事安全領域十幾年的“老司機”，也有正值青春的“小鮮肉”，他們的經歷，正是近年來中國網路安全變化的軌跡，也是Hacker（黑客）成長變遷的縮影。

6月1日，《網路安全法》正式實施，這一網路空間的基本法出臺將為“白帽子”畫一條明確的底線。

招安篇：“前半生做賊，後半生抓賊”

Hacker（黑客）這個詞本無貶義，但在中國人的認知中，硬是將黑客分為正邪兩派：幫助企業找漏洞的“白帽子”和職業破壞者“黑帽子”。在黑客這條路上，學歷從來不是障礙，中專肄業的曾穎濤未成年就在黑客圈小有名氣。

1997年出生的曾穎濤外號“毛毛”，今年剛滿20歲。小學時因為打遊戲開始瞭解外掛和病毒，初中痴迷電腦的他乾脆放棄高中，報考了廣東惠州一家中專學計算機，是學校有名的電腦“瘋子”。

曾穎濤言語極少，性格靦腆，骨子裡有著一股瘋勁和狂熱。在學校就讀時，他發現了學校網站的一個漏洞，並將漏洞報告給了老師。然而等到快畢業時，他發現漏洞仍在，“有點生氣，就起了惡作劇的心理，利用當初發現的漏洞黑掉了學校的網站。”正是因為這次惡作劇，他被學校退學，成了肄業生。

2015年，在家自學的“毛毛”看到一個旨在挖掘網際網路安全人才的“神話行動”海選，他一路過關斬將，成功入圍。2015年底，時年18歲的“毛毛”發現漏洞，破解了沃爾沃、比亞迪、別克三種品牌部分車輛的防盜系統，實現了1分鐘無鑰匙開鎖，引起不小的轟動。後來，曾穎濤進入有名的360獨角獸團隊，靠著挖漏洞找到一份薪水豐厚的工作。

年前，靠挖漏洞就業的人還不多，但現在，曾穎濤所熟知的圈裡的黑客們，大多進了安全企業。

“前半生做賊，後半生抓賊，”360安全監測與響應中心負責人趙晉龍如此總結他的“白帽子”生涯。2003年，中國家用PC迎來爆發，很多家庭有了PC，那時趙晉龍正在讀初中，成為中國較早接觸黑客技術的一批人。

當時中國對網路安全的概念很模糊，“辦個論壇都可能被說成是傳播黑客工具”，不像現在競賽滿天飛，野心勃勃的黑客們可以有安全的地方自由炫技。

大學畢業前，趙晉龍在圈子裡是做攻擊，俗稱“找漏洞的人”。畢業後一直從事安全廠商的網路防護工作，“攻”“守”身份互換多年，現在趙晉龍已經不大願意提起過往的歲月，現在他的工作是負責抓入侵者。以前把漏洞找出來，再告訴對方怎麼修復即可，現在考慮更多的則是怎麼防護，“還有誰進來？進來幹了什麼？有什麼目的？”

像曾穎濤、趙晉龍這樣的白帽子大多進了安全企業，這也是中國大部分白帽子選擇的歸宿。

創業篇：“每半年報價就漲三成”

當然，也有那麼一群不安分的“白帽子”選擇了創業，他們沒丟老本行，選擇在安全領域裡“自立門派”。

2015年底，姚威和幾個小夥伴一起創立了廣州凌晨網路科技有限公司，幫助企業解決業務、資產及應用中的安全風險，包括網際網路資產歸屬、持續威脅檢測、敏感資訊檢測、風險預警等。作為一名資深“白帽子”，在公司的主營業務之外，他依然從事“挖漏洞”的工作，曾連續三年帶領團隊發表關於中國公共Wi-Fi安全的研究報告。

2013年以後，在政策和安全事件的雙重驅動下，網路安全地位越來越高，安全領域新增的初創公司也越來越多。每年都有二三十家創業公司湧進網路安全市場，呈現出爆發式的狀態，目前國內安全公司已經達到三四百家。越來越多的安全事件讓姚威這樣的初創企業嚐到了甜頭，創業以來，每半年公司服務的報價和成交額都會有一定的上漲，漲幅約為20%-30%，姚威向記者透露，每次安全事件以後，會有很多生意自己找上門。

第三方研究機構Gartner報告顯示，我國企業級網路安全需求巨大，目前在國家工商總局註冊的企業數超過1100萬家，絕大多數企業均已接入網際網路，但卻缺少安全可靠的IT系統。隨著企業網路安全意識的覺醒，企業級網路安全市場變成千億級，甚至萬億級別的大藍海。

和姚威一樣，林榆堅也轉向了創業。高中時，林榆堅就是一個經驗豐富的白帽子，大學畢業後進入百度，2012年跳出網際網路公司選擇創業，成立安賽科技。林榆堅對“白帽子”的稱呼不太感冒，他信奉的是“勿以漏洞論英雄”，認為“防護比攻擊要困難得多”。

在林榆堅看來，大多數網路安全人員90%的時間都在從事防護方向的工作，“比如面對永恆之藍，怎麼去建立防護、降低危害、恢復資料，比利用NASA洩露的漏洞攻擊別人要困難得多。”

翻身篇：“頂級‘白帽子’身價八位數”

曾經，即便是“白帽子”，也帶著一層曖昧和隱晦的色彩，部分白帽子經常遊走在法律邊界，一不小心就會“踩線”。一方面漏洞在黑市的價格很高，另一方面則是無法可依，紅線也不明確。2016年11月，全國人民代表大會常務委員會頒佈《網路安全法》，2017年6月1日起施行，這一網路空間的基本法出臺以後，白帽子不能踩的那條線就明確了。

“白帽子註冊平臺的時候有明確協議，不炒作也不披露漏洞，只是提醒企業修復，如果企業沒在平臺註冊，也只會公佈標題，比如某公司有某種型別的漏洞。”補天平臺負責人白健被白帽子稱為“白掌門”，他負責的補天平臺上，白帽子主要都是企業資訊保安人員，同行中安全公司技術人員以及學生資訊保安愛好者，大多有著雙重身份，“就像蜘蛛俠彼得·帕克一樣，平時是日報社的記者，當大家遇到威脅時，就搖身變為大英雄。”

法律把“挖漏洞”這件事從灰色地帶放到光明地帶，白帽子的生存環境正變得越來越好，隨著法律改變的還有薪水。2013年之前，安全人員的平均薪水只是與IT行業其他工種持平。2013年“斯諾登事件”之後，薪水開始水漲船高。2012年，一個最普通的安全研究員月薪是5000-8000元，“現在，網路安全人才成為香餑餑，一些頂尖人才的身價已經炒得很高了，網際網路公司給出的年薪（現金+股票）達到了千萬元級別。”白健感慨道。

根據能力不同，有技術的白帽子身價在幾十萬到幾百萬不等。薪水上漲的同時，“挖漏洞”得到的獎勵也越來越豐厚，“現在行業內很多公司的SRC（安全應急響應中心）都非常健全，通過黑客技術挖到的漏洞都有人收。”姚威告訴記者。在補天平臺上，發放的“懸賞”獎金總額達到了870萬人民幣。

“通過陽光手段能掙到錢，監管又很嚴，誰願意做壞事呢？”曾穎濤靦腆地說道。

延伸閱讀

全國安全人才缺口50萬

白帽子這一群體的變化和近兩年中國網路安全市場的變化如影隨形，“白帽子”日益被尊重，創業公司的熱情日益高漲，即將正式施行的《網路安全法》也將徹底扭轉中國網路安全市場無法可依的窘境。然而新的網路環境也日益凶險，近期“永恆之藍”病毒的始作俑者黑客組織Shadow Brokers又釋出了一篇宣告，將從2017年6月開始公佈更多0day漏洞，也許更多的“蟲”會接踵而至。

安全人才的稀缺與日益增長的網路安全市場需求形成了巨大的矛盾。

一份來自網路安全服務平臺的調研顯示，中國內地企業網路安全管理與文化均落後於印度。內地企業44%的網路安全事件與資料洩露、員工操作不當、安全意識薄弱等有關，遠高於全球16%的平均水平。根據《中國資訊保安》雜誌統計，截至2020年，中國網路安全產業人才缺口達140萬人，而目前每年高校培養的資訊保安人才僅在5萬名左右。上海一所高校的資訊保安與管理專業開設10年，畢業生僅481人。

“目前中國的網路安全人才缺口很大”，白健告訴《IT時報》記者，補天平臺註冊白帽子3萬，實際上能夠有效提交漏洞的白帽子也就1萬左右，而目前全社會的網路安全人才缺口超過50萬。很多漏洞平臺上的白帽子都是重疊的，如果不通過網際網路，把現有的網路安全人才複用起來，根本無法滿足保護網路安全的需要。

不過白健透露，補天平臺的白帽子增長很快，每年大約增長30%以上，並且目前的年齡分佈高峰是在1995年前後，很多都是剛畢業的大學生，“說明網路安全後備力量正在逐步成長。”

上海市資訊保安行業協會宣傳主管張林才則認為技術競賽是一個有效發現人才的方式，“可能有些人學歷不高，但是一心鑽研技術，水平很高，可以通過競賽發現這部分人才。”不過張林才覺得在安全人才的培養中，需要注意德才兼備，“雖然現在光明地帶的獎金提高了，但是黑市的漏洞價格動輒10萬美元，誘惑還是很大，安全人員的職業道德很重要。”

本文轉自d1net（轉載）