IT时报 -V9 新闻产业-
9新闻产业
  • ·让法律赶走白帽子头上的“乌云”
  • ·机构蜂拥而至MCN也将大浪淘沙
  • ·中国网络视频付费用户规模将达2亿

让法律赶走白帽子头上的“乌云”

补天漏洞平台加强“人才培养计划”,完善白色产业链

  

IT时报见习记者刘慧莹
2018年3月28日,一年一度的360企业安全集团“补天白帽大会”在上海落下帷幕。“补天白帽大会”自2013年起已成功举办五届,但这五年中困难也一路相随——与日俱增的网络安全漏洞、游走在法律边缘的白帽子“攻陷”行动以及逐渐放大的网络安全人才缺口是补天平台面临的三大问题。
补天平台希望通过法律细则为白帽子解决行动合法性问题,同时不断完善白色产业链,为网络安全漏洞寻求更多解决方案。

互联网漏洞数量连年上升
  “白帽子”是对民间安全群体的俗称,补天白帽大会则是向民间安全群体、专注于漏洞响应与防护的全球性安全行业盛会。
近几年来,因网络安全引发的风险直线上升。360网络安全响应中心2018年发布的《2017年度安全报告—漏洞态势》显示,2017年共披露15120枚漏洞,其中高危漏洞4406枚,覆盖1400多家厂商或组织,累计影响近4千种产品,13多万个版本,漏洞披露数量环比上升120%。
大会上,公安部网络安全保卫局张秀东透露,在全国禁网行动中,仅打击侵犯公民个人信息犯罪这一项行动,就在两年内抓获400多名黑客。有的网络黑客一个人就入侵了10000多家网站,窃取公民个人信息10亿条,非法获利达20万元。也有黑客利用从某网站发现的某航空公司系统漏洞,进入航空公司内部网络,并且通过云服务器部署爬虫软件,批量窃取公民航班信息40万条,并借此非法谋利600万元。“漏洞的利用和攻击正逐步产业化和规模化,无论最近流行的木马还是其他病毒,背后都呈现出集团化特征。”360补天平台负责人白健表示,同时,由于比特币数字货币的流行和升值,整个产业的变现链条逐步缩短。

如何分辨白帽子和黑帽子?这是个问题
  一方面是网络安全问题爆棚,另一方面却是白帽子平台遭遇尴尬。
2016年4月12日,“白帽子”袁炜因在业内知名的白帽子平台——乌云网上提交某互联网公司漏洞,被以“涉嫌非法获取计算机信息系统数据犯罪”批捕,同年7月末,乌云网停摆,有媒体称,包括创始人方小顿在内的“多名高管被抓”。始终停在乌云网头上的“乌云”是,白帽子侵入企业、系统寻找漏洞的所有动作究竟如何判断善意、恶意?
补天平台也曾遭遇同样困惑。360企业安全集团董事长齐向东回忆,在补天的前身“库带计划”时期,漏洞公布平台的游戏规则是白帽子发现企业系统漏洞,企业付钱修复漏洞及时止损维护安全,但在实际运行中,平台不愿意为白帽子发现漏洞付费,而公布漏洞也给涉及企业造成了很大的困惑和压力。因此,补天平台从一开始成立便推出了向白帽子付费的机制,以规避相关法律风险,“补天平台里两个最重要的角色,一个是白帽子,另一个就是注册入驻这个平台的企业。”
但并不是所有的企业都接受这种方式。白健告诉《IT时报》记者,截至目前,补天上有4万多名注册白帽子,报送的网络安全漏洞涉及两万多家企业,但只有5000多家企业与补天建立了有效连接。这意味着,补天与剩余1万多家企业之间的关系,依然很微妙。

法律已经明确红线
  对于漏洞报送平台的法律责任,上海市委网信办总工程师杨海军明确指出,《网络安全法》第26条对网络安全服务提供以及发布网络安全信息的严格规范已有明确说明,而第26、27、62、63条则共同对第三方漏洞提供了基本的法律指引。《网络安全法》第26条规定,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。第27条规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。
从法律条文来看,“非法侵入”是关键词,杨海军坦承,从法律规定到实施细则,还需要一个发展过程,但如何在网络安全的立法精神和其他法律法规的约束下,加强法律意识、平台建设和规范流程以及对白帽子的行为进行指导和约束,并且建立和企业监管部门之间的漏洞通报和协同工作机制,是第三方漏洞平台所必须遵循和考虑的,“如何在法律界定的范围之内发挥技术所长,劳有所得又不触碰法律的底线,也是每一个白帽子必须了解和明确的。”
张秀东则对第三方漏洞平台提出了具体的操作要求:严禁在互联网上公布漏洞的详细利用过程,否则就是打着技术的幌子传播犯罪方法。
面对错综复杂的白色产业链,补天平台一直坚守红线,但同时对实施细则的指定,有自己的想法。对于大量禁止性条例,白健呼吁相关立法机关能够更多考量白帽子的动机,比如“只要白帽子参与的过程是以保护系统为目的,同时又没有对系统造成危害,是否这些动作就可以被排除在法律禁止性条例之外?”同时白健也提出,如果白帽子对漏洞信息的报送和纰漏不危害数据信息泄露,而且不用于商业竞争,是否能够得到一定的收益?

白帽子人才紧缺
  人才紧缺也是第三方漏洞平台面临的另一个重要问题。尽管补天漏洞平台已经吸引四万余名“白帽子”加入修补漏洞的“补天”计划,但这远不能满足实际需求。白健告诉《IT时报》记者,随着产业井喷式的快速发展,安全人才缺口不断扩大,北上广深一线城市的安全人才都在几个大企业之间流动,而二三线城市的企业,更难招聘到能满足需要的安全人才。
相关机构调查显示,当下网络安全人才缺口已达70万,在2020年,这个数字将达到140万,整个网络安全行业人才缺口的不断扩大,行业将深陷“人才荒”。白健认为,有能力对漏洞追踪分析和溯源的人才,是目前各家公司最缺乏的,而且这类人善于逆向思考问题,甚至可能在生活中不是好孩子、好学生、好员工,因此,补天希望可以推出创业计划,让这群喜欢单打独斗,特立独行的“白帽子”们能够脱颖而出。