2019补天白帽大会在上海成功召开

    5月29日，作为首个面向民间安全群体（白帽子）和安全从业者、技术精英开放的，专注于漏洞响应与防护的全球性安全行业盛会——2019补天白帽大会在上海举办。

    本届补天白帽大会是奇安信集团正式跻身“国家队”后首次举办的白帽大会，也是国内规模最大的白帽盛典。国内外知名白帽、技术精英、安全爱好者，知名企业CISO等上千名网络安全顶尖攻防人才齐聚一堂，共同就漏洞技术、安全事件进行研讨分享。

补天白帽大会现场

    据了解，补天白帽大会由补天漏洞响应平台主办，由公安部网络安全保卫局、国家计算机网络应急技术处理协调中心（CNCERT/CC）、中国信息安全测评中心、国家信息技术安全研究中心、中共上海市委网络安全和信息化委员会办公室共同指导，联合知名国际安全组织以及国内外多家企业安全运营响应中心（SRC）参与。

    上海市委网信办总工程师杨海军，公安部网络安全保卫局副处长范春玲，国家信息安全研究中心副主任刘瑛煜，金融安全处副处长曹岳，中国信息安全测评中心 漏洞库管理处处长时志伟、副处长郝永乐，国家信息安全漏洞共享平台贾子骁，交通通信信息中心主任林榕，奇安信集团总裁吴云坤等嘉宾出席本届补天白帽大会。

    补天五星计划发布  漏洞品类全覆盖

    当前，随着物联网、云计算、大数据、5G等新技术新应用的普及，海量数据大集中的趋势日益明显、企业数据聚集规模快速膨胀，利用漏洞窃取用户数据、加密勒索等网络安全风险日益突出。

    针对现阶段我国政企机构网络安全所面临的新风险，2019补天白帽大会上补天漏洞响应平台发布了“补天五星计划”，以“重塑安全属性，再创漏洞价值”为主旨，将漏洞响应范围从原来的Web为主，升级化为Web、系统、 IOT、工控、移动等五大方向，全面覆盖了当前新一代网络安全环境下的各种漏洞风险。由此，补天漏洞响应平台也为国内第一家全面覆盖各种漏洞种类的漏洞响应平台，并跻身全球三大漏洞平台之列。

补天五星计划发布仪式

    “过去、现在和未来，补天漏洞平台都致力于做好三件事：维护企业网络安全、解决数据泄露隐患、培养网络安全人才。”补天漏洞响应平台负责人白健表示，随着漏洞响应品类的增多，白帽子应该更有专业的平台，把民间的网络安全攻防技术达人与企业的安全，更好的关联在一起。而补天五星计划，作为一个长期计划，将以“协同保护全社会网络安全”为使命，坚持平台的公益属性，以互联网众包的方式汇聚白帽子的安全能力，持续为国内企业的漏洞响应提供支持，实现漏洞的发现与修复，维护企业网络安全、解决数据泄露隐患、培养网络安全人才。

    全方位解决网络安全隐患

    随着信息化深入发展和安全问题的日益突出，高危漏洞的民用化和犯罪集团化特点越来越凸显。

    与会专家表示，整个漏洞交易变现的链条正在从上中下游协作向一步到位变现靠拢，同时变现的方式也从传统货币升级为比特币等数字货币。与此同时，利用漏洞发起的网络攻击，尤其是对关键信息基础设施的攻击，将带来不可估量的损失。

    为此，在2019补天白帽大会上，盘古实验室首席科学家王铁磊、工控研究专家张钊、独立安全研究员kevin2600、iOS和MacOS领域专家jonathan levin以及复旦大学计算机学院教授杨珉等业内知名专家学者，针对Web安全、移动安全、物联网安全、工控安全、密码安全、系统安全、二进制漏洞挖掘技术、软件逆向技术、关键信息基础设施保护、安全技术发展趋势等前沿话题进行技术分享，话题基本覆盖了当前新技术环境下的网络安全隐患。

    同时，针对关键信息基础设施的攻防演练和安全体系建设以及红蓝对抗设，国家电网、华泰证券、平安金融等企业，分享央企、金融机构的网络安全体系建设经验。

    与会技术专家提出，大型厂商应对APT级别攻击时，不仅要及时掌握最前沿的攻防技术，同时要进行纵深防御能力建设。

奇安信集团总裁吴云坤

    “网络安全的本质是攻防对抗。”奇安信集团总裁吴云坤在开幕式致辞中表示，应通过“44333”（四个假设、四新战略、三位一体、三同步和三方制衡）的新一代网络安全体系思想，构建起一种应对和对抗“争夺权利和利益”的攻击者的能力。

    吴云坤称，“四个假设”是指假设系统一定有没被发现的漏洞、假设一定有已发现漏洞没打补丁、假设系统已经被黑、假设有内鬼。“四新战略”是指以第三代网络安全技术为核心的新战具、以数据驱动安全技术为核心的新战力、以零信任架构为核心的新战术、以“人+机器”安全运营体系为核心的新战法。“三位一体”是高中低三位能力立体联动的体系；“三同步”是指同步规划、同步建设和同步运营；“三方制衡”是将用户、云服务商和安全公司放在一个互相制约的机制下，从最大程度上杜绝漏洞，真正实现长治久安。

    国家队引领，白帽子将创造更大价值

    “网络安全的本质是人与人之间的攻防对抗，再聪明的机器也不能取代人的作用。”吴云坤提出，新时代网络安全防护需要以人为核心，关注人在安全中的能力和价值，实现安全与信息化的“全面覆盖、深度结合、有效检测、协同响应”。

    但目前网络人才缺口绝大，根据普华永道的报告，2019年网络安全人才缺口可能达到150万。与此同时，在网络安全领域，白帽子又是一个特殊的群体，由于国内没有专门针对白帽子的相关政策，以致这个群体常常游走于法律边缘。

    补天漏洞响应平台作为企业和企业和白帽子之间共赢的漏洞响应平台，在公益属性基础上，以互联网众包的方式汇聚白帽子的安全能力，实现漏洞的发现与修复，维护企业网络安全、解决数据泄露隐患、培养网络安全人才。这无疑给白帽子提供最好的安全保障和价值平台。

年度最具潜力白帽奖颁奖仪式

    随着奇安信正式跻身“国家队”，未来将进一步加强补天漏洞响应平台的建设，完善平台规则，更好滴汇聚民间网络安全人才力量，进一步解决各类网络安全隐患，共同守护网络安全的城墙，为政企机构的网络安全创造更大价值。同时，进一步利用好这个平台，充分挖掘社会存量网络安全人才资源，加强对社会网络安全人才的技能培训和正确引导，让民间白帽群体为政企网络安全发挥更大价值。