5月12日起,利用Windows漏洞傳播的“永恒之藍(lán)”勒索蠕蟲在全球范圍內(nèi)大規(guī)模爆發(fā),影響近百個國家上千家企業(yè)及公共組織,我國至少有29372個機構(gòu)遭到這一源自美國國家安全局網(wǎng)絡(luò)武器庫的蠕蟲病毒攻擊,保守估計超過30萬臺終端和服務(wù)器受到感染。該事件是“沖擊波”病毒發(fā)生以來,14年一遇的嚴(yán)重網(wǎng)絡(luò)安全攻擊事件。
“永恒之藍(lán)”為網(wǎng)絡(luò)安全再次敲響了警鐘,也讓人們再次聚焦在這一領(lǐng)域潛伏多年的“白帽子”?!禝T時報》記者對話多位“白帽子”,他們中有從事安全領(lǐng)域十幾年的“老司機”,也有正值青春的“小鮮肉”,他們的經(jīng)歷,正是近年來中國網(wǎng)絡(luò)安全變化的軌跡,也是Hacker(黑客)成長變遷的縮影。
6月1日,《網(wǎng)絡(luò)安全法》正式實施,這一網(wǎng)絡(luò)空間的基本法出臺將為“白帽子”畫一條明確的底線。
招安篇:“前半生做賊,后半生抓賊”
Hacker(黑客)這個詞本無貶義,但在中國人的認(rèn)知中,硬是將黑客分為正邪兩派:幫助企業(yè)找漏洞的“白帽子”和職業(yè)破壞者“黑帽子”。在黑客這條路上,學(xué)歷從來不是障礙,中專肄業(yè)的曾穎濤未成年就在黑客圈小有名氣。
1997年出生的曾穎濤外號“毛毛”,今年剛滿20歲。小學(xué)時因為打游戲開始了解外掛和病毒,初中癡迷電腦的他干脆放棄高中,報考了廣東惠州一家中專學(xué)計算機,是學(xué)校有名的電腦“瘋子”。
曾穎濤言語極少,性格靦腆,骨子里有著一股瘋勁和狂熱。在學(xué)校就讀時,他發(fā)現(xiàn)了學(xué)校網(wǎng)站的一個漏洞,并將漏洞報告給了老師。然而等到快畢業(yè)時,他發(fā)現(xiàn)漏洞仍在,“有點生氣,就起了惡作劇的心理,利用當(dāng)初發(fā)現(xiàn)的漏洞黑掉了學(xué)校的網(wǎng)站。”正是因為這次惡作劇,他被學(xué)校退學(xué),成了肄業(yè)生。
2015年,在家自學(xué)的“毛毛”看到一個旨在挖掘互聯(lián)網(wǎng)安全人才的“神話行動”海選,他一路過關(guān)斬將,成功入圍。2015年底,時年18歲的“毛毛”發(fā)現(xiàn)漏洞,破解了沃爾沃、比亞迪、別克三種品牌部分車輛的防盜系統(tǒng),實現(xiàn)了1分鐘無鑰匙開鎖,引起不小的轟動。后來,曾穎濤進(jìn)入有名的360獨角獸團(tuán)隊,靠著挖漏洞找到一份薪水豐厚的工作。
年前,靠挖漏洞就業(yè)的人還不多,但現(xiàn)在,曾穎濤所熟知的圈里的黑客們,大多進(jìn)了安全企業(yè)。
“前半生做賊,后半生抓賊,”360安全監(jiān)測與響應(yīng)中心負(fù)責(zé)人趙晉龍如此總結(jié)他的“白帽子”生涯。2003年,中國家用PC迎來爆發(fā),很多家庭有了PC,那時趙晉龍正在讀初中,成為中國較早接觸黑客技術(shù)的一批人。
當(dāng)時中國對網(wǎng)絡(luò)安全的概念很模糊,“辦個論壇都可能被說成是傳播黑客工具”,不像現(xiàn)在競賽滿天飛,野心勃勃的黑客們可以有安全的地方自由炫技。
大學(xué)畢業(yè)前,趙晉龍在圈子里是做攻擊,俗稱“找漏洞的人”。畢業(yè)后一直從事安全廠商的網(wǎng)絡(luò)防護(hù)工作,“攻”“守”身份互換多年,現(xiàn)在趙晉龍已經(jīng)不大愿意提起過往的歲月,現(xiàn)在他的工作是負(fù)責(zé)抓入侵者。以前把漏洞找出來,再告訴對方怎么修復(fù)即可,現(xiàn)在考慮更多的則是怎么防護(hù),“還有誰進(jìn)來?進(jìn)來干了什么?有什么目的?”
像曾穎濤、趙晉龍這樣的白帽子大多進(jìn)了安全企業(yè),這也是中國大部分白帽子選擇的歸宿。
創(chuàng)業(yè)篇:“每半年報價就漲三成”
當(dāng)然,也有那么一群不安分的“白帽子”選擇了創(chuàng)業(yè),他們沒丟老本行,選擇在安全領(lǐng)域里“自立門派”。
2015年底,姚威和幾個小伙伴一起創(chuàng)立了廣州凌晨網(wǎng)絡(luò)科技有限公司,幫助企業(yè)解決業(yè)務(wù)、資產(chǎn)及應(yīng)用中的安全風(fēng)險,包括互聯(lián)網(wǎng)資產(chǎn)歸屬、持續(xù)威脅檢測、敏感信息檢測、風(fēng)險預(yù)警等。作為一名資深“白帽子”,在公司的主營業(yè)務(wù)之外,他依然從事“挖漏洞”的工作,曾連續(xù)三年帶領(lǐng)團(tuán)隊發(fā)表關(guān)于中國公共Wi-Fi安全的研究報告。
2013年以后,在政策和安全事件的雙重驅(qū)動下,網(wǎng)絡(luò)安全地位越來越高,安全領(lǐng)域新增的初創(chuàng)公司也越來越多。每年都有二三十家創(chuàng)業(yè)公司涌進(jìn)網(wǎng)絡(luò)安全市場,呈現(xiàn)出爆發(fā)式的狀態(tài),目前國內(nèi)安全公司已經(jīng)達(dá)到三四百家。越來越多的安全事件讓姚威這樣的初創(chuàng)企業(yè)嘗到了甜頭,創(chuàng)業(yè)以來,每半年公司服務(wù)的報價和成交額都會有一定的上漲,漲幅約為20%-30%,姚威向記者透露,每次安全事件以后,會有很多生意自己找上門。
第三方研究機構(gòu)Gartner報告顯示,我國企業(yè)級網(wǎng)絡(luò)安全需求巨大,目前在國家工商總局注冊的企業(yè)數(shù)超過1100萬家,絕大多數(shù)企業(yè)均已接入互聯(lián)網(wǎng),但卻缺少安全可靠的IT系統(tǒng)。隨著企業(yè)網(wǎng)絡(luò)安全意識的覺醒,企業(yè)級網(wǎng)絡(luò)安全市場變成千億級,甚至萬億級別的大藍(lán)海。
和姚威一樣,林榆堅也轉(zhuǎn)向了創(chuàng)業(yè)。高中時,林榆堅就是一個經(jīng)驗豐富的白帽子,大學(xué)畢業(yè)后進(jìn)入百度,2012年跳出互聯(lián)網(wǎng)公司選擇創(chuàng)業(yè),成立安賽科技。林榆堅對“白帽子”的稱呼不太感冒,他信奉的是“勿以漏洞論英雄”,認(rèn)為“防護(hù)比攻擊要困難得多”。
在林榆堅看來,大多數(shù)網(wǎng)絡(luò)安全人員90%的時間都在從事防護(hù)方向的工作,“比如面對永恒之藍(lán),怎么去建立防護(hù)、降低危害、恢復(fù)數(shù)據(jù),比利用NASA泄露的漏洞攻擊別人要困難得多。”
翻身篇:“頂級‘白帽子’身價八位數(shù)”
曾經(jīng),即便是“白帽子”,也帶著一層曖昧和隱晦的色彩,部分白帽子經(jīng)常游走在法律邊界,一不小心就會“踩線”。一方面漏洞在黑市的價格很高,另一方面則是無法可依,紅線也不明確。2016年11月,全國人民代表大會常務(wù)委員會頒布《網(wǎng)絡(luò)安全法》,2017年6月1日起施行,這一網(wǎng)絡(luò)空間的基本法出臺以后,白帽子不能踩的那條線就明確了。
“白帽子注冊平臺的時候有明確協(xié)議,不炒作也不披露漏洞,只是提醒企業(yè)修復(fù),如果企業(yè)沒在平臺注冊,也只會公布標(biāo)題,比如某公司有某種類型的漏洞。”補天平臺負(fù)責(zé)人白健被白帽子稱為“白掌門”,他負(fù)責(zé)的補天平臺上,白帽子主要都是企業(yè)信息安全人員,同行中安全公司技術(shù)人員以及學(xué)生信息安全愛好者,大多有著雙重身份,“就像蜘蛛俠彼得·帕克一樣,平時是日報社的記者,當(dāng)大家遇到威脅時,就搖身變?yōu)榇笥⑿邸?rdquo;
法律把“挖漏洞”這件事從灰色地帶放到光明地帶,白帽子的生存環(huán)境正變得越來越好,隨著法律改變的還有薪水。2013年之前,安全人員的平均薪水只是與IT行業(yè)其他工種持平。2013年“斯諾登事件”之后,薪水開始水漲船高。2012年,一個最普通的安全研究員月薪是5000-8000元,“現(xiàn)在,網(wǎng)絡(luò)安全人才成為香餑餑,一些頂尖人才的身價已經(jīng)炒得很高了,互聯(lián)網(wǎng)公司給出的年薪(現(xiàn)金+股票)達(dá)到了千萬元級別。”白健感慨道。
根據(jù)能力不同,有技術(shù)的白帽子身價在幾十萬到幾百萬不等。薪水上漲的同時,“挖漏洞”得到的獎勵也越來越豐厚,“現(xiàn)在行業(yè)內(nèi)很多公司的SRC(安全應(yīng)急響應(yīng)中心)都非常健全,通過黑客技術(shù)挖到的漏洞都有人收。”姚威告訴記者。在補天平臺上,發(fā)放的“懸賞”獎金總額達(dá)到了870萬人民幣。
“通過陽光手段能掙到錢,監(jiān)管又很嚴(yán),誰愿意做壞事呢?”曾穎濤靦腆地說道。
延伸閱讀
全國安全人才缺口50萬
白帽子這一群體的變化和近兩年中國網(wǎng)絡(luò)安全市場的變化如影隨形,“白帽子”日益被尊重,創(chuàng)業(yè)公司的熱情日益高漲,即將正式施行的《網(wǎng)絡(luò)安全法》也將徹底扭轉(zhuǎn)中國網(wǎng)絡(luò)安全市場無法可依的窘境。然而新的網(wǎng)絡(luò)環(huán)境也日益兇險,近期“永恒之藍(lán)”病毒的始作俑者黑客組織Shadow Brokers又發(fā)布了一篇聲明,將從2017年6月開始公布更多0day漏洞,也許更多的“蟲”會接踵而至。
安全人才的稀缺與日益增長的網(wǎng)絡(luò)安全市場需求形成了巨大的矛盾。
一份來自網(wǎng)絡(luò)安全服務(wù)平臺的調(diào)研顯示,中國內(nèi)地企業(yè)網(wǎng)絡(luò)安全管理與文化均落后于印度。內(nèi)地企業(yè)44%的網(wǎng)絡(luò)安全事件與數(shù)據(jù)泄露、員工操作不當(dāng)、安全意識薄弱等有關(guān),遠(yuǎn)高于全球16%的平均水平。根據(jù)《中國信息安全》雜志統(tǒng)計,截至2020年,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)人才缺口達(dá)140萬人,而目前每年高校培養(yǎng)的信息安全人才僅在5萬名左右。上海一所高校的信息安全與管理專業(yè)開設(shè)10年,畢業(yè)生僅481人。
“目前中國的網(wǎng)絡(luò)安全人才缺口很大”,白健告訴《IT時報》記者,補天平臺注冊白帽子3萬,實際上能夠有效提交漏洞的白帽子也就1萬左右,而目前全社會的網(wǎng)絡(luò)安全人才缺口超過50萬。很多漏洞平臺上的白帽子都是重疊的,如果不通過互聯(lián)網(wǎng),把現(xiàn)有的網(wǎng)絡(luò)安全人才復(fù)用起來,根本無法滿足保護(hù)網(wǎng)絡(luò)安全的需要。
不過白健透露,補天平臺的白帽子增長很快,每年大約增長30%以上,并且目前的年齡分布高峰是在1995年前后,很多都是剛畢業(yè)的大學(xué)生,“說明網(wǎng)絡(luò)安全后備力量正在逐步成長。”
上海市信息安全行業(yè)協(xié)會宣傳主管張林才則認(rèn)為技術(shù)競賽是一個有效發(fā)現(xiàn)人才的方式,“可能有些人學(xué)歷不高,但是一心鉆研技術(shù),水平很高,可以通過競賽發(fā)現(xiàn)這部分人才。”不過張林才覺得在安全人才的培養(yǎng)中,需要注意德才兼?zhèn)洌?ldquo;雖然現(xiàn)在光明地帶的獎金提高了,但是黑市的漏洞價格動輒10萬美元,誘惑還是很大,安全人員的職業(yè)道德很重要。”