11月3日,2022補天白帽大會在上海召開。來自政府、廠商、研究機構的重磅嘉賓和頂尖白帽匯聚一堂,圍繞培養實戰化網路安全人才、構建多元化人才培養體系進行深入探討,並分享先進白帽技術在實戰場景中的應用。
多方眾創 共話安全人才培養新模式
做好漏洞風險防範治理和人才培養工作,是維護國家安全、保障網路空間穩定的必然要求。政產學研用各方對這一觀點達成了共識。
中國資訊通訊研究院副院長魏亮表示,當前,培養白帽子等漏洞人才、做好漏洞資源管理,已成為各國的共同選擇和發力方向。希望透過各方攜手共建,做好漏洞管理及漏洞人才隊伍建設,打造漏洞治理新正規化,為漏洞治理和人才培養持續貢獻更大力量。
相關法律法規也為漏洞治理和人才培養指明瞭方向。上海市通訊管理局副局長王天廣表示,希望奇安信和補天平臺充分發揮領軍企業和第三方平臺的定位和作用,按照《網路產品安全漏洞管理規定》和《網路產品安全漏洞收集平臺備案管理辦法》的指引,引導白帽人才發展、做好網路安全人才培養、打造良好的白帽生態,助力國家網路安全技術能力和人才隊伍的整體提升。
共建實驗室揭牌 探索高質量人才培養新途徑
對科技創新和人才培養的需求,對高校和企業都提出了更高的要求。為進一步促進產學研用發展、共同培養國家高水平網路安全人才,會上,奇安信集團與上海交通大學現場簽署了合作協議,併為資訊系統安全聯合實驗室揭牌。
上海交通大學黨委書記楊振斌表示,上海交大和奇安信聯合建立資訊系統安全共建實驗室,正逢其時。聯合實驗室的建設,將為推動相關領域的技術進步和產業升級發揮積極的作用,在服務國家重大需求的同時,實現合作雙方的互惠共贏,為推動我國資訊保安領域的發展作出應有貢獻。
“數字時代,規模化培養網路安全實戰人才成為新命題。”奇安信集團董事長齊向東表示,網路安全實戰化時代,高水平的網路安全人才已經成為稀缺資源、搶手資源。聯合實驗室將發揮校企雙方優勢,共同培養國家高水平網路安全人才;補天大會也將持續啟用白帽力量,引導白帽子用實際行動守護網路安全,並不斷超越、尋求更大突破。以實際行動為中國的網路安全人才培養、技術研發、能力提升做出新的更大貢獻。
立足實戰 集聚力量培養實戰人才
“政企機構亟需大量實戰型網路安全人才來支撐網路安全執行。”奇安信集團總裁吳雲坤錶示,北京冬奧會的網路安全保障,離不開充足的、高水平的網路安全工作人員,但當前,面向實戰安全執行的運維人員、安全分析人員、攻防滲透人員全面短缺:在國家實網演習中,防守單位需要藉助第三方安全公司的力量,來彌補人員和能力的不足;大型企業搭建網路安全執行體系,也需要藉助第三方安全公司的安全執行服務,來彌補安全運營、檢測處置、分析研判人員的數量和能力不足。吳雲坤指出,需要聚合多方力量,多元化培養服務於實戰的人才,並提出了培養實戰型人才的關鍵點。
首先,產業規模是根本,足夠大的產業規模才能吸引和支撐高水平人才培養;第二,需要多元化培養模式,面向不同需求、不同種類的安全人才探索多種培養模式;第三,堅持從實戰出發,立足甲方視角,從實戰中來、到實戰中去;第四,聚合多方力量,調動多方資源,聚集力量培養人才。
其中,補天漏洞響應平臺將監管機構、廠商、白帽人才匯聚在一起,在是漏洞挖掘數量,還是人才培養、知識交流等方面,打造了全新的眾創模式,培養了大量寶貴的攻防人才。在北京冬奧會和冬殘奧會上,透過補天漏洞響應平臺招募、選拔的“冬奧網路安全衛士” 24小時線上,發起超過2000萬次測試請求,測試總時長超過1萬小時,成功發現了大量有效系統漏洞和冬奧相關威脅情報,為冬奧網路安全“零事故”做出了突出貢獻。
聚焦實戰 兩大報告描繪白帽人才畫像
針對當前我國白帽人才特點及實戰化能力現狀,補天漏洞響應平臺聯合奇安信行業安全研究中心,聯合釋出了《2022中國白帽人才能力與發展狀況調研報告》(以下簡稱“報告”)與《2022中國實戰化白帽人才能力白皮書》(以下簡稱“白皮書”)。報告顯示:當前,我國白帽人才實力整體提升、10後嶄露頭角,但高水平實戰化白帽人才稀缺。
報告顯示,國內白帽人才平均每人每年向各大漏洞平臺提交的安全漏洞數量為69個,較2021年增長46.8%;每年人均提交有效漏洞數超300個的“超級挖掘機”約佔6.6%,白帽子的漏洞挖掘能力普遍提升。
令人驚喜的是,白帽人才的年輕化趨勢愈發明顯,00後、10後嶄露頭角。相比於2021年,80後、90後佔比均有所下降,而00後、10後白帽數量增加,佔比之和近44%,成為一支強勢崛起的“新勢力”。
《2022中國實戰化白帽人才能力白皮書》則將“實戰化白帽人才能力圖譜”進行了擴充。最新調研成果顯示,在“實戰化白帽人才能力圖譜”所關注的3個級別、14大類、87項具體的實戰化能力中,各項能力總體的平均掌握率從2020年末的38.8%,提升至2022年7月的45.4%,提升了6.6個百分點,整體水平有所提升;但擁有高階能力的實戰化白帽人才比例出現了小幅下降。這也是必須引起重視的一個現狀:在當前和未來一段時間裡,高水平的實戰化白帽人才仍然較為稀缺。
補天漏洞響應中心負責人田朋表示,實網攻防演習活動的持續開展,對於提升白帽人才實戰化能力有很大幫助。但高階實戰能力的學習和掌握難度較高,通常需要多年的學習和實戰經驗積累,才能初步掌握部分關鍵能力,同時夯實計算機基礎能力也尤為重要。“補天漏洞響應平臺作為目前國內最大的第三方漏洞收集和響應平臺,將持續為白帽人才提供學習、交流、提升的平臺,不斷輸出高階人才。希望更多廠商夥伴尤其是國產信創廠商加入進來,透過白帽力量守護產品安全、信創安全、國家安全。”
場景、技術深度結合 雙向交流
實戰化應用場景中,資料安全和信創安全是當前最重要的領域,也需要白帽力量守護。為進一步推動相關領域安全建設,本次大會專門設立了“資料安全”和“信創安全”兩個分論壇,邀請主管單位、資訊化企業、網路安全及資料安全專家,圍繞論壇主題進行研討和分享。
白帽技術分享環節,來自螞蟻光年實驗室、天穹實驗室、奇安信星輿實驗室、程式碼安全實驗室、Supremacy安全機構、奇安信天宮實驗室、深藍實驗室、阿里雲等頂尖安全實驗室及團隊的安全專家、安全研究員,圍繞漏洞解析、協議解析、電子取證、車聯網、智慧合約、攻防演練等多維度、不同領域的技術內容和實戰技巧進行了精彩分享。十餘家企業SRC、近百個國內外優秀的安全實驗室及安全團隊參與了大會。