5月29日，作為首個面向民間安全羣體（白帽子）和安全從業者、技術精英開放的，專注於漏洞響應與防護的全球性安全行業盛會——2019補天白帽大會在上海舉辦。

本屆補天白帽大會是奇安信集團正式躋身“國家隊”後首次舉辦的白帽大會，也是國內規模最大的白帽盛典。國內外知名白帽、技術精英、安全愛好者，知名企業CISO等上千名網絡安全頂尖攻防人才齊聚一堂，共同就漏洞技術、安全事件進行研討分享。

據瞭解，補天白帽大會由補天漏洞響應平臺主辦，由公安部網絡安全保衛局、國家計算機網絡應急技術處理協調中心（CNCERT/CC）、中國信息安全測評中心、國家信息技術安全研究中心、中共上海市委網絡安全和信息化委員會辦公室共同指導，聯合知名國際安全組織以及國內外多家企業安全運營響應中心（SRC）參與。

上海市委網信辦總工程師楊海軍，公安部網絡安全保衛局副處長範春玲，國家信息安全研究中心副主任劉瑛煜，金融安全處副處長曹嶽，中國信息安全測評中心 漏洞庫管理處處長時志偉、副處長郝永樂，國家信息安全漏洞共享平臺賈子驍，交通通信信息中心主任林榕，奇安信集團總裁吳雲坤等嘉賓出席本屆補天白帽大會。

補天五星計劃發布 漏洞品類全覆蓋

當前，隨着物聯網、雲計算、大數據、5G等新技術新應用的普及，海量數據大集中的趨勢日益明顯、企業數據聚集規模快速膨脹，利用漏洞竊取用戶數據、加密勒索等網絡安全風險日益突出。

針對現階段我國政企機構網絡安全所面臨的新風險，2019補天白帽大會上補天漏洞響應平臺發布了“補天五星計劃”，以“重塑安全屬性，再創漏洞價值”為主旨，將漏洞響應範圍從原來的Web為主，升級化為Web、系統、 IOT、工控、移動等五大方向，全面覆蓋了當前新一代網絡安全環境下的各種漏洞風險。由此，補天漏洞響應平臺也為國內第一家全面覆蓋各種漏洞種類的漏洞響應平臺，並躋身全球三大漏洞平臺之列。

（圖/補天五星計劃發布儀式）

“過去、現在和未來，補天漏洞平臺都致力於做好三件事：維護企業網絡安全、解決數據泄露隱患、培養網絡安全人才。”補天漏洞響應平臺負責人白健表示，隨着漏洞響應品類的增多，白帽子應該更有專業的平臺，把民間的網絡安全攻防技術達人與企業的安全，更好的關聯在一起。而補天五星計劃，作為一個長期計劃，將以“協同保護全社會網絡安全”為使命，堅持平臺的公益屬性，以互聯網眾包的方式匯聚白帽子的安全能力，持續為國內企業的漏洞響應提供支持，實現漏洞的發現與修復，維護企業網絡安全、解決數據泄露隱患、培養網絡安全人才。

全方位解決網絡安全隱患

隨着信息化深入發展和安全問題的日益突出，高危漏洞的民用化和犯罪集團化特點越來越凸顯。

與會專家表示，整個漏洞交易變現的鏈條正在從上中下游協作向一步到位變現靠攏，同時變現的方式也從傳統貨幣升級為比特幣等數字貨幣。與此同時，利用漏洞發起的網絡攻擊，尤其是對關鍵信息基礎設施的攻擊，將帶來不可估量的損失。

為此，在2019補天白帽大會上，盤古實驗室首席科學家王鐵磊、工控研究專家張釗、獨立安全研究員kevin2600、iOS和MacOS領域專家jonathan levin以及復旦大學計算機學院教授楊珉等業內知名專家學者，針對Web安全、移動安全、物聯網安全、工控安全、密碼安全、系統安全、二進制漏洞挖掘技術、軟件逆向技術、關鍵信息基礎設施保護、安全技術發展趨勢等前沿話題進行技術分享，話題基本覆蓋了當前新技術環境下的網絡安全隱患。

同時，針對關鍵信息基礎設施的攻防演練和安全體系建設以及紅藍對抗設，國家電網、華泰證券、平安金融等企業，分享央企、金融機構的網絡安全體系建設經驗。

與會技術專家提出，大型廠商應對APT級別攻擊時，不僅要及時掌握最前沿的攻防技術，同時要進行縱深防禦能力建設。

（圖/奇安信集團總裁吳雲坤）

“網絡安全的本質是攻防對抗。”奇安信集團總裁吳雲坤在開幕式致辭中表示，應通過“44333”（四個假設、四新戰略、三位一體、三同步和三方制衡）的新一代網絡安全體系思想，構建起一種應對和對抗“爭奪權利和利益”的攻擊者的能力。

吳雲坤稱，“四個假設”是指假設系統一定有沒被發現的漏洞、假設一定有已發現漏洞沒打補丁、假設系統已經被黑、假設有內鬼。“四新戰略”是指以第三代網絡安全技術為核心的新戰具、以數據驅動安全技術為核心的新戰力、以零信任架構為核心的新戰術、以“人+機器”安全運營體係為核心的新戰法。“三位一體”是高中低三位能力立體聯動的體系；“三同步”是指同步規劃、同步建設和同步運營；“三方制衡”是將用戶、雲服務商和安全公司放在一個互相制約的機制下，從最大程度上杜絕漏洞，真正實現長治久安。

國家隊引領，白帽子將創造更大價值

“網絡安全的本質是人與人之間的攻防對抗，再聰明的機器也不能取代人的作用。”吳雲坤提出，新時代網絡安全防護需要以人為核心，關注人在安全中的能力和價值，實現安全與信息化的“全面覆蓋、深度結合、有效檢測、協同響應”。

但目前網絡人才缺口絕大，根據普華永道的報告，2019年網絡安全人才缺口可能達到150萬。與此同時，在網絡安全領域，白帽子又是一個特殊的羣體，由於國內沒有專門針對白帽子的相關政策，以致這個羣體常常遊走於法律邊緣。

補天漏洞響應平臺作為企業和企業和白帽子之間共贏的漏洞響應平臺，在公益屬性基礎上，以互聯網眾包的方式匯聚白帽子的安全能力，實現漏洞的發現與修復，維護企業網絡安全、解決數據泄露隱患、培養網絡安全人才。這無疑給白帽子提供最好的安全保障和價值平臺。

（圖/年度最具潛力白帽獎頒獎儀式）

隨着奇安信正式躋身“國家隊”，未來將進一步加強補天漏洞響應平臺的建設，完善平臺規則，更好滴匯聚民間網絡安全人才力量，進一步解決各類網絡安全隱患，共同守護網絡安全的城牆，為政企機構的網絡安全創造更大價值。同時，進一步利用好這個平臺，充分挖掘社會存量網絡安全人才資源，加強對社會網絡安全人才的技能培訓和正確引導，讓民間白帽羣體為政企網絡安全發揮更大價值。

---------------------------------------------------------

1.本文援引自互聯網，旨在傳遞更多網絡信息，僅代表作者本人觀點，與本網站無關。

2.本文僅供讀者參考，本網站未對該內容進行證實，對其原創性、真實性、完整性、及時性不作任何保證。