科技猎构建全局意识,驱动模式创新众安天下护航网络安全
网络安全有多重要?2021年,我国从立法层面完善网络安全体系,并发布几十项网络安全相关政策作为补充,将数字经济时代背景下的网络安全作为数字经济高质量发展的重中之重。
随着科技不断发展,新型网络安全威胁犹如“潘多拉”盒子,让网络空间威胁不断演变。面对海量、多变的安全威胁问题,政企相关单位如何对自身的安全问题进行“诊断”,成为复杂而又现实的问题,安全众测则是发现“网络漏洞疾病”最佳的手段。
“安全众测确实是网络安全城墙的保障技术手段之一,但如今面对安全问题与安全事件时,绝大多数采取‘头痛医头、脚痛医脚’的处置方式,没有系统性对问题的根源进行剖析,甚至对网络安全现状有效认知。”北京众安天下科技有限公司(以下简称“众安天下”)CEO杨蔚虽刚到而立之年,却早已是“安全圈”里的知名白帽专家,其表示,安全众测要形成“未知攻焉知防”的行业共识,通过实战对业务场景进行安全断诊,以攻促防,建设安全保障体系,才能更好地为业务提供保障,防范于未然。
从无标到有规定,众测行业开始迈向有序发展之路
2014年可以称之为我国的网络安全元年,这一年,OpenSSL“心脏出血”漏洞、BadUSB漏洞、破壳漏洞等漏洞事件集中爆发,严重威胁到国家安全。世界各国加速网络安全战略落地部署,我国也将网络及信息安全上升至国家战略,成立中央网络安全和信息化领导小组(2018年3月改为中国共产党中央网络安全和信息化委员会),设立国家网络安全宣传周。政策暖风频频吹向网络及信息安全行业,以安全众测模式为代表的网络安全创新服务模式,也掀起了一股风潮。
互联网安全众测与传统的系统测试不同,安全众测是以互联网众包竞争模式的漏洞测试为服务模式,在得到企业机构授权情况下,在约定的特定时间对指定的测试范围和产品进行安全测试。测试由众测平台组织跨地域、跨业务领域、跨技术领域的众多白帽子黑客们,以竞测形式,合力帮助企业以及机构多方面、多维度、多视角排除安全漏洞隐患,提升安全防护能力。
而白帽子黑客与“黑客”相对,白帽子黑客广义上指通过安全研究分析发现互联网产品、网络环境的安全缺陷或安全弱点,向涉及企业或者机构告知相关安全漏洞风险,并为涉及企业或漏洞发布者机构提出改进建议的网络安全专家,部分为高校培养的网络安全人才,又称“信息安全保卫者”,是互联网世界中不可或缺的中坚力量。
当时,国内出现过WooYun众测、漏洞盒子、补天白帽众测三大安全众测平台,而这也是安全众测最初的形态——社区模式。社区里聚集了各领域优秀的白帽子黑客,他们寻找漏洞、填补漏洞,试图为个人、公司构筑网络安全防护墙。
当时年仅24岁的杨蔚,作为国内最大的安全众测平台负责人之一,在经历风云变幻的那些网络安全事件后,认识到网络安全对个人乃至国家的重要性,更加坚定一个信念:集中现有的技术力量开展持续的安全创新,一同守护国家网络安全。
2016年4月,杨蔚走向另外一个起点,带领团队创立众安天下,希望聚集天下英才共创美好。
四年来,众安天下在安全攻防领域持续深耕,并快速成长为一颗亮眼的“新星”。先后荣获种子轮投资、天使轮融资、贵阳创投千万级战略投资,成为国家信息安全漏洞库技术支撑单位;多次参与国家重大活动的保障支撑工作;为了考核自身技术,2018年首次参与贵阳大数据及安全攻防演练大赛,与腾讯安全团队并列第一,斩获最佳技术创新一等奖、安全成果一等奖;2019年再次参与贵阳大数据及网络安全精英对抗赛实战,荣获第二名,排名仅次于阿里云安全;深度参与国家安全众测及通信行业众测标准的起草,成为国家网络安全众测领域的试点应用之一。
众安天下荣获2018贵阳大数据及网络安全攻防演练“安全成果一等奖”与“技术创新一等奖”。
众安天下荣获2019贵阳大数据及网络安全精英对抗演练团队精英二等奖。
2020年,我国首批网络安全众测标准——《网络安全众测平台技术要求》、《网络安全众测服务管理要求》正式运行。这是由国家互联网应急中心(CNCERT)、阿里云、众安天下等单位及企业共同参与编写的标准,意味着安全众测获得了国家有关部门及行业认可,向健康发展之路快速前进。
杨蔚参加网络安全众测标准制定的相关会议。
众测仅为创新手段,让技术向服务转化才是硬道理
网络安全是数字经济时代的基础设施,要构建国家网络安全“城墙”,就要补齐网络安全短板,但并非所有企业及机构都能够组建安全团队,筑起安全网络,从自身补齐短板,而安全众测是解决这一问题的有效手段之一。安全众测能全面、高效地为企业开展“安全问诊”,甚至是“远程安全问诊”,除了“治未病”,还能“治已病”,解决中小企业“看病难”和“看病贵”两大问题。
“针对于企业‘看病难’和‘看病贵’的问题,需要一套新的能力体系,解决顶尖级实战人才与企业安全需求失衡的问题;一套可信机制,把国内不同地域、不同技术领域的优秀安全专家聚合,形成强大的行业技术人才生态。”杨蔚介绍,为达到这一结果,众安天下创新运营模式,将自身的专业技术团队打造成为会服务的技术人,形成技术与服务“双人才”模式,以此筑牢众安天下安全技术与运营服务基础;通过基于互联网化的SaaS安全服务平台,开展一站式安全顾问服务,针对企业、机构的安全问题,组建专家安全运营团队7x24小时响应沟通,开展“协同问诊”,解决两大难题。
此外,众安天下依托私有化运营方式,结合多项创新机制,构建数十项风控体系,解决企业漏洞治理的难题;面对重要领域自主研发了大数据过程风险审计系统;通过建立行为监测体系和身份信任机制,结合有关部门的风控验证、技能验证、担保约束,持续完善白帽子安全管控体系;通过多年的持续运营经验,建立安全人才能力模型。
在杨蔚看来,作为网络安全服务商,除了强化技术能力,还要强调服务能力,只有充分了解用户的业务视角,以顾问的身份帮助用户去解决安全问题,才能将硬核技术转变为柔性的服务,使安全服务产品化形成趋势。“将服务产品化这一理念,在这两年已得到充分验证,服务化是当前安全众测的大趋势。”他说。
杨蔚参加2021中国国际大数据产业博览会“投资人大会”并作分享。
众安天下成立之初就定下了“基于用户业务视角的顾问式安全服务”的理念,这是基于杨蔚在长期技术服务中的实践理论。他发现很多安全问题,用就漏洞补漏洞的方式无法解决根本问题。“因为漏洞这一表象的背后很可能是人、网络,或者其他更深层次的问题导致。所以网络安全服务方通过众测进行‘望闻问切’后,还需要开展系统性的服务,就漏洞开展开方、治疗工作,甚至是安全意识宣传、安全人员培训等,通过全面的系统化服务,对网络安全风险进行控制。”
守护阳光,巩固网络安全后备力量
在国外,Hackerone、Bugcrowd等主流的安全众测平台已经非常成熟,全球顶级的互联网公司Google、推特、通用汽车、高通,甚至国家安全部门、政府机构等,都会选择用安全众测的方式开展安全防御体系验证,如美国安全部门采用安全众测模式已发现超过3000+的安全漏洞。Hackerone累计发现十七万多安全漏洞,每年发放的安全奖金已经超过上亿美金,成为百亿级独角兽企业。
在国内,随着数字经济发展对网络安全需求的不断攀升,安全众测获得更多关注,近几年众测企业数量在不断增加,并逐步形成规模。
网络安全行业的发展严重依赖网络安全人才,特别是各领域的领军人才。国内的网络安全人才分布不均,过于集中在北上广深,且人才培养机制尚不完善,大部分学员存在实操经验不够或实战技能未能充分释放的情况,面临就业困难,从而导致发展与人才的步调不协调问题。
为此,众安天下利用自身平台的优势,建立云端实网演练模式,打造云端实战团队,涵盖多样化的行业场景,帮助平台签约白帽专家以及年轻的安全技术人员,提高实战能力;通过能力积分体系,增加技术人员的实战兴趣,打造实战可持续的模式。
通过这样的机制,众安天下以实战攻防替练的方式帮助近两千名初学者提高实战能力,这些初学者也利用平台发现了数万个安全漏洞,涵盖了几十个行业、几百个重点单位和系统,间接保护了数亿用户的数据与资金安全。
众安天下公司环境。
然而,以上并非杨蔚最终的目标,“如果要推动行业发展,还需要建立特殊攻防人才库,做好人才管理与过程管控,建立奖惩标准,形成规范,鼓励更多的人走进安全行业,为国家网络安全事业尽绵薄之力。”杨蔚谈道。
“侠之大者,为国为民。”这是杨蔚在这次访问中写下的一句话。众安天下或许是杨蔚“侠客梦”的一个起点,他与“战友们”合力将众安天下从默默无闻的企业,推至为行业赋能的标杆尚不容易,但这还不是企业的终点。“众安天下还怀揣着一个很大的梦,想让攻防演练网络化、常态化,提高团队的技能,也提高企业机构的防御能力,做好国家网络安全的后备力量。”杨蔚介绍,这是众安天下的新计划。
“你之所以看不到黑暗,是因为有人竭尽全力把黑暗档在你看不到的地方。”作为安全领域的一员,杨蔚表示,众安天下仍将不断关注最新的攻防对抗技术,了解前沿的技术,提前对未知威胁开展研究,充分运营好安全专家,保障国家、企业、社会群众利益,做挡住黑暗留下光明的“守护者”。
责任编辑:张薇
