愛伊米

當前位置:首頁>娛樂

對話丨白帽“黑哥”:漏洞與資料是網路安全領域兩大基石

  • 分類:由 光明網 發表于 娛樂
  • 時間:2022-11-14

結識“黑哥”,緣於三年前曝出安卓“應用克隆”威脅時的一次採訪。當時,“黑哥”所在的知道創宇404實驗室發現漏洞後,及時上報國家相關部門,並呼籲行業安全風險的共聯、共治。

作為一名白帽子的“黑哥”,真正ID是“superhei”,熟悉他的人喜歡叫他“黑哥”,也有人直譯為“超級黑”。“黑哥”真名叫周景平。如果說,最早一批“分析家”駭客開創了國內安全行業的Web安全領域,“黑哥”就為此做出很大貢獻;另外,他還透過自身對Web安全領域的研究,帶動了一批年輕人做出不少意義不凡的成績。

再次遇到“黑哥”,是在日前舉行的第十屆KCon駭客大會上。安全從業者、白帽子以及各大網際網路企業安全部門負責人齊聚一堂,大會也從最初的Web安全論壇發展成了現在的行業高層級前沿盛會。“數字時代網際網路行業高速發展,讓形式不受限、輻射範圍廣、影響領域深的網路攻擊,急劇擴張並瘋狂肆虐。如何應對網路威脅,已成為關乎國防安全的重要議題。”周景平說。

要把技術乾貨放在第一位

記者:今年KCon十週年。談談十年來KCon歷程,比如,辦會初衷、印象深刻細節等?

周景平:今年是KCon十週年。我記得最早一屆KCon還是在2012年,在一個咖啡廳裡舉辦的,可能稱之為沙龍更合適,只有半天時間,大概三四個議題,人數也不足百人。到了KCon2013開始有了現在大會的樣子,參加人數達到500人左右,記得當時我們只准備了300多個座位,好多人都在旁邊圍坐著。

KCon2014才真正算得上峰會規模,會址選在鳥巢,一天賣掉了600張票。當時有位贊助商贊助了100個比特幣,這一屆也迎來了KCon歷史上最年輕的研究者。從KCon2015年開始,規模有了進一步提升,上升到3天,參會人員超1000人,成為名副其實的國內“駭客大會”。KCon2016邀請了來自美國矽谷等國際一線著名安全公司的著名研究員演講分享。

在過去的10年裡,我們一直遵循初衷是——打造更好更大的技術交流與分享平臺。從一個咖啡館的安全沙龍成長為在國際網路安全圈極具影響的行業標杆會議,在未來可能遇到更多挑戰,但不會變的是初衷。

記者:國內也有很多安全技術交流活動,KCon定位是什麼?與其他活動有哪些區別?

周景平:KCon一直堅持一個口號:匯聚駭客智慧。KCon定位於乾貨、品位,聚焦於有價值的技術內容以及真正的駭客精神。所以,技術上的乾貨是KCon第一定位。每一屆KCon對於演講主題的要求都非常嚴格,有所謂“不幹貨 無KCon”之說,對於那些帶有非純技術或有產品商業元素的議題,我們都會委婉拒絕。這樣技術至上的理念,才能得到更好地傳承。

在我的體驗裡,KCon與其它會議不同的是,KCon上的年輕人比較多,這些相對陌生的年輕人呈現的議題技術含量非常高,讓人有種“網路安全的技術未來是屬於年輕人”的感受。

記者:伴隨行業發展,知道創宇404實驗室近年來重點研究方向有什麼哪些?取得了哪些成果?

周景平:404實驗室已經成長為覆蓋包括漏洞研究團隊(Seebug體系)、網路空間測繪研究團隊(ZoomEye體系)、404積極防禦實驗室團隊(創宇安全大腦體系)、404區塊鏈安全研究團隊、404特種滲透及保障支援團隊等多個團隊的“大部隊”。

漏洞與資料是網路安全的兩大基石,這些年來404實驗室的發展也一直圍繞這兩個基本點展開。在漏洞研究領域,我們常年給微軟、蘋果、甲骨文等國際一線大廠輸出過研究成果;在國家漏洞庫等工作上也取得了不少成績,比如,在2020年連獲得CNVD(國家資訊保安漏洞共享平臺)和CNNVD(國家資訊保安漏洞庫)的認可。

人才短缺導致行業“泡沫”

記者:對於您這樣的人才群體,近年來各界是否正在給予更多關注?結合自身經歷談談感受?

周景平:對於網路安全領域來講,以前我有一個觀點,就是說安全屬於業務屬性。從傳統網際網路,到移動網際網路,再到萬物互融時代,隨之而來的安全風險也越來越多,現在現實世界已經對標到了網路世界裡,一個人幾乎所有資料都會傳到網際網路上,形成一個電子化人物形象。從這個層面來說,網路安全變得越來越重要,受到的關注度也越來越多。

從整體上看,網路安全人才還是比較缺乏的。隨著安全問題凸顯,人才培養需要一定時間階段。另外,還觀察到一個現象,網路安全領域成本還集中在人力成本方面,也就是說,很多成本投在了個人薪水待遇上。所以,從HR的角度看,因為人才缺少,導致了行業“泡沫”出現。

記者:站在從業者角度,在人才“產、學、研、用”方面有哪些體驗?

周景平:我們一直非常想跟學術界,尤其是高校形成一個比較好的迴圈。但在實際操作中,也遇到了不少困難。比如,大家的訴求不一樣。

在這個過程中,很多優質人才和研究方向是可遇而不可求的,但假如功利性太強,有可能味道就不一樣了,做出來的東西就有點背離我們的初衷。

以前很多網路安全團隊做裝置有點像在閉門造車。其實,有些技術別人能用得上,才證明這項技術有價值,如果沒人用,只能說明在自娛自樂。拋開“文人相輕”的成分,這幾年大家在交流中風氣有了很大改善。事實上,做安全、做技術的意義在於,真正去解決使用者的核心痛點。

行業不斷規範,不再是“有技術天下任我闖”

記者:今年以來,《資料安全法》《關鍵資訊基礎設施安全保護條例》等陸續出臺,給網際網路行業帶來哪些改變?

周景平:從這些利好變化來看,國家各項法律法規越來越規範化,這也是網路安全發展的必然結果。

比如,對於一些連帶性漏洞,必須要走正規路徑。以前我們只是按民間約定俗成的漏洞暴露流程,現在要上升到官方流程。

從另一個角度來說,企業提供的有關資料安全、個人隱私保護等業務服務,必須要符合國家等級保護等要求,這實際上刺激了整個安全市場成長。這也要求這些人更加規範化地約束自己,不能說“有了技術就天下任我闖”。

此外,一項政策、一部法規的出臺,對於從業者更舒服還是更規範,值得探討。對於廣大企業平臺來說,應該是更規範了,必須基於政策法規去改變自己、接受自己、規範自己。(光明網記者 李政葳)

標籤:KCon網路安全周景平安全黑哥

相關文章

推薦文章