11月3日,2022补天白帽大会在上海召开。来自政府、厂商、研究机构的重磅嘉宾和顶尖白帽汇聚一堂,围绕培养实战化网络安全人才、构建多元化人才培养体系进行深入探讨,并分享先进白帽技术在实战场景中的应用。
多方众创
共话安全人才培养新模式
做好漏洞风险防范治理和人才培养工作,是维护国家安全、保障网络空间稳定的必然要求。政产学研用各方对这一观点达成了共识。
中国信息通信研究院副院长魏亮表示,当前,培养白帽子等漏洞人才、做好漏洞资源管理,已成为各国的共同选择和发力方向。希望通过各方携手共建,做好漏洞管理及漏洞人才队伍建设,打造漏洞治理新范式,为漏洞治理和人才培养持续贡献更大力量。
相关法律法规也为漏洞治理和人才培养指明了方向。上海市通信管理局副局长王天广表示,希望奇安信和补天平台充分发挥领军企业和第三方平台的定位和作用,按照《网络产品安全漏洞管理规定》和《网络产品安全漏洞收集平台备案管理办法》的指引,引导白帽人才发展、做好网络安全人才培养、打造良好的白帽生态,助力国家网络安全技术能力和人才队伍的整体提升。
共建实验室揭牌
探索高质量人才培养新途径
对科技创新和人才培养的需求,对高校和企业都提出了更高的要求。为进一步促进产学研用发展、共同培养国家高水平网络安全人才,会上,奇安信集团与上海交通大学现场签署了合作协议,并为信息系统安全联合实验室揭牌。
上海交通大学党委书记杨振斌表示,上海交大和奇安信联合建立信息系统安全共建实验室,正逢其时。联合实验室的建设,将为推动相关领域的技术进步和产业升级发挥积极的作用,在服务国家重大需求的同时,实现合作双方的互惠共赢,为推动我国信息安全领域的发展作出应有贡献。
“数字时代,规模化培养网络安全实战人才成为新命题。”奇安信集团董事长齐向东表示,网络安全实战化时代,高水平的网络安全人才已经成为稀缺资源、抢手资源。联合实验室将发挥校企双方优势,共同培养国家高水平网络安全人才;补天大会也将持续激活白帽力量,引导白帽子用实际行动守护网络安全,并不断超越、寻求更大突破。以实际行动为中国的网络安全人才培养、技术研发、能力提升做出新的更大贡献。
立足实战
集聚力量培养实战人才
“政企机构亟需大量实战型网络安全人才来支撑网络安全运行。”奇安信集团总裁吴云坤表示,北京冬奥会的网络安全保障,离不开充足的、高水平的网络安全工作人员,但当前,面向实战安全运行的运维人员、安全分析人员、攻防渗透人员全面短缺:在国家实网演习中,防守单位需要借助第三方安全公司的力量,来弥补人员和能力的不足;大型企业搭建网络安全运行体系,也需要借助第三方安全公司的安全运行服务,来弥补安全运营、检测处置、分析研判人员的数量和能力不足。吴云坤指出,需要聚合多方力量,多元化培养服务于实战的人才,并提出了培养实战型人才的关键点。
首先,产业规模是根本,足够大的产业规模才能吸引和支撑高水平人才培养;第二,需要多元化培养模式,面向不同需求、不同种类的安全人才探索多种培养模式;第三,坚持从实战出发,立足甲方视角,从实战中来、到实战中去;第四,聚合多方力量,调动多方资源,聚集力量培养人才。
其中,补天漏洞响应平台将监管机构、厂商、白帽人才汇聚在一起,在是漏洞挖掘数量,还是人才培养、知识交流等方面,打造了全新的众创模式,培养了大量宝贵的攻防人才。在北京冬奥会和冬残奥会上,通过补天漏洞响应平台招募、选拔的“冬奥网络安全卫士”24小时在线,发起超过2000万次测试请求,测试总时长超过1万小时,成功发现了大量有效系统漏洞和冬奥相关威胁情报,为冬奥网络安全“零事故”做出了突出贡献。
聚焦实战
两大报告描绘白帽人才画像
针对当前我国白帽人才特点及实战化能力现状,补天漏洞响应平台联合奇安信行业安全研究中心,联合发布了《2022中国白帽人才能力与发展状况调研报告》(以下简称“报告”)与《2022中国实战化白帽人才能力白皮书》(以下简称“白皮书”)。报告显示:当前,我国白帽人才实力整体提升、10后崭露头角,但高水平实战化白帽人才稀缺。
报告显示,国内白帽人才平均每人每年向各大漏洞平台提交的安全漏洞数量为69个,较2021年增长46.8%;每年人均提交有效漏洞数超300个的“超级挖掘机”约占6.6%,白帽子的漏洞挖掘能力普遍提升。
令人惊喜的是,白帽人才的年轻化趋势愈发明显,00后、10后崭露头角。相比于2021年,80后、90后占比均有所下降,而00后、10后白帽数量增加,占比之和近44%,成为一支强势崛起的“新势力”。
《2022中国实战化白帽人才能力白皮书》则将“实战化白帽人才能力图谱”进行了拓展。最新调研成果显示,在“实战化白帽人才能力图谱”所关注的3个级别、14大类、87项具体的实战化能力中,各项能力总体的平均掌握率从2020年末的38.8%,提升至2022年7月的45.4%,提升了6.6个百分点,整体水平有所提升;但拥有高阶能力的实战化白帽人才比例出现了小幅下降。这也是必须引起重视的一个现状:在当前和未来一段时间里,高水平的实战化白帽人才仍然较为稀缺。
补天漏洞响应中心负责人田朋表示,实网攻防演习活动的持续开展,对于提升白帽人才实战化能力有很大帮助。但高阶实战能力的学习和掌握难度较高,通常需要多年的学习和实战经验积累,才能初步掌握部分关键能力,同时夯实计算机基础能力也尤为重要。“补天漏洞响应平台作为目前国内最大的第三方漏洞收集和响应平台,将持续为白帽人才提供学习、交流、提升的平台,不断输出高阶人才。希望更多厂商伙伴尤其是国产信创厂商加入进来,通过白帽力量守护产品安全、信创安全、国家安全。”
场景、技术深度结合
双向交流
实战化应用场景中,数据安全和信创安全是当前最重要的领域,也需要白帽力量守护。为进一步推动相关领域安全建设,本次大会专门设立了“数据安全”和“信创安全”两个分论坛,邀请主管单位、信息化企业、网络安全及数据安全专家,围绕论坛主题进行研讨和分享。
白帽技术分享环节,来自蚂蚁光年实验室、天穹实验室、奇安信星舆实验室、代码安全实验室、Supremacy安全机构、奇安信天宫实验室、深蓝实验室、阿里云等顶尖安全实验室及团队的安全专家、安全研究员,围绕漏洞解析、协议解析、电子取证、车联网、智能合约、攻防演练等多维度、不同领域的技术内容和实战技巧进行了精彩分享。十余家企业SRC、近百个国内外优秀的安全实验室及安全团队参与了大会。
