漏洞生態(tài)治理需要民間力量 白帽黑客成“關(guān)鍵先生”

特斯拉上海超級工廠監(jiān)控系統(tǒng)遭入侵、騙子破解人臉識別系統(tǒng)虛開5億發(fā)票、視頻會議工具Zoom頻曝安全漏洞……隨著數(shù)字時代的加速到來，漏洞的危害性與日俱增。數(shù)據(jù)顯示，平均每一千行代碼中就存在著4-6個漏洞，而軟件系統(tǒng)越復(fù)雜，漏洞就會越多。

發(fā)現(xiàn)和修補(bǔ)無處不在的安全漏洞，不僅需要企業(yè)的意識及行動，國家級漏洞管理平臺的響應(yīng)與擔(dān)當(dāng)，更需要廣發(fā)民間技術(shù)力量的支撐與參與，發(fā)揮好白帽子群體和漏洞社會化第三方平臺的價值。今年兩會期間，全國政協(xié)委員，360集團(tuán)創(chuàng)始人、董事長周鴻祎就提案呼吁為白帽黑客正名，提供一系列激勵政策，吸引他們?yōu)榫W(wǎng)絡(luò)強(qiáng)國建設(shè)做貢獻(xiàn)。

3月31日， 由360集團(tuán)舉辦的“盤今圓桌會”第1期正式召開，會議聚焦“白帽子職業(yè)規(guī)劃與漏洞生態(tài)治理”，匯集了來自公安部第三研究所、西安交通大學(xué)蘇州信息安全法學(xué)所、北京市朝陽區(qū)人民檢察院、中國信息安全測評中心、中國信息安全法律大會專委會等機(jī)構(gòu)多位專家學(xué)者獻(xiàn)計獻(xiàn)策。

360集團(tuán)聯(lián)合西交蘇州信息安全法學(xué)所在會上發(fā)布了《白帽子安全漏洞挖掘與披露行為規(guī)范研究》和《安全漏洞生態(tài)治理的法治保障研究》兩份報告，基于國內(nèi)外現(xiàn)狀，立足行業(yè)痛點(diǎn)，給出諸多設(shè)計構(gòu)想，以推動行業(yè)生態(tài)建設(shè)。

漏洞生態(tài)治理需要民間力量 白帽黑客成“關(guān)鍵先生”

所謂“盤今”，就是要盤點(diǎn)當(dāng)今網(wǎng)絡(luò)安全法治建設(shè)現(xiàn)狀，盤理當(dāng)前法治實(shí)踐的攸關(guān)問題，盤清未來我國安全法治實(shí)踐的趨勢與進(jìn)路。據(jù)360集團(tuán)副總裁、總法務(wù)顧問張偉介紹，“盤今”首期活動直切網(wǎng)絡(luò)安全“人的因素”，可謂要害。

據(jù)了解，在新技術(shù)、新模式、新產(chǎn)業(yè)的推動下，數(shù)字經(jīng)濟(jì)迅速發(fā)展。但不能否認(rèn)的是，網(wǎng)絡(luò)安全問題也日益突出，并為社會平穩(wěn)運(yùn)行提出新的挑戰(zhàn)。

“從研究角度上看，安全漏洞是網(wǎng)絡(luò)空間系統(tǒng)構(gòu)建的必然結(jié)果，缺陷是安全漏洞第一位的特質(zhì)。”針對漏洞亂象和治理建議，公安部第三研究所信息安全法律研究中心主任、研究員黃道麗這樣表示。

在黃道麗看來，“漏洞亂象”不僅與安全漏洞本身多重屬性相關(guān)，還疊加、迭代著多重利益主體訴求、多重治理理念。因此，應(yīng)建立以挖掘?yàn)槠瘘c(diǎn)的全周期，以發(fā)掘者、平臺、廠商，直到監(jiān)管為主體的治理架構(gòu)，形成披露、限制與禁止的一般與例外規(guī)則和體系化的治理生態(tài)。

而根據(jù)《安全漏洞生態(tài)治理的法治保障研究》，由于漏洞披露在漏洞生命周期中處于“由暗轉(zhuǎn)明”的特殊環(huán)節(jié)，因此應(yīng)借助市場化的披露主體，收集、披露和修復(fù)，乃至實(shí)現(xiàn)漏洞利用，把漏洞披露作為順理成章的治理抓手。

在漏洞披露這一“抓手環(huán)節(jié)”，白帽黑客的貢獻(xiàn)巨大。360BugCloud是中國首家開源漏洞響應(yīng)平臺，自2019年上線以來，已收到了白帽黑客提交的大量開源高危漏洞，目前累計發(fā)放漏洞獎金超5000萬，收錄的開源通用組件高危嚴(yán)重漏洞占比98%，涉及政府、企業(yè)、事業(yè)等數(shù)百余家單位，覆蓋能源、金融、交通、醫(yī)療、電信、教育眾多關(guān)鍵行業(yè)領(lǐng)域，挽救了全球數(shù)億的價值損失。

360安全大腦漏洞云負(fù)責(zé)人胡曉娜直言道，作為民間重要的網(wǎng)絡(luò)安全力量，“白帽子”已經(jīng)引起行業(yè)的重視，其在對抗黑客攻擊、完善網(wǎng)絡(luò)安全環(huán)境、提升互聯(lián)網(wǎng)環(huán)境等方面，扮演著更加重要的角色。

也正如360集團(tuán)法務(wù)中心總監(jiān)孫艷玲所言，“白帽子個人與群體的存在有其必然性與合理性，如果說漏洞披露是生態(tài)治理中最敏捷的抓手，白帽子就是其間最活躍的要素。”

引導(dǎo)、規(guī)范、激勵 專家為白帽黑客生態(tài)構(gòu)建開“處方”

白帽子的合理存在構(gòu)筑了網(wǎng)絡(luò)安全的一道重要屏障，但需注意的是，網(wǎng)絡(luò)空間也非法外之地，要通過規(guī)則構(gòu)筑形成約束邊界。

北京市朝陽區(qū)人民檢察院參會代表王愛強(qiáng)表示，刑法其實(shí)已經(jīng)預(yù)留了相對自由的空間，白帽子應(yīng)當(dāng)，也可以做到對自己的手段和工具充分了解，確保知悉每一步的后果，自律其實(shí)就是最大的自由。

在規(guī)則指引上，360集團(tuán)所發(fā)布的《白帽子安全漏洞挖掘與披露行為規(guī)范研究》，則首次對白帽子行為的紅線和藍(lán)線進(jìn)行了強(qiáng)調(diào)與劃分，為白帽子的合法、合規(guī)發(fā)展提供了正向引導(dǎo)。

據(jù)中國信息安全測評中心助理研究員楊詩雨介紹，鑒于國內(nèi)外漏洞治理的相關(guān)經(jīng)驗(yàn)，發(fā)展國家、社會、企業(yè)等多平臺“協(xié)同”機(jī)制，也將為白帽子等主體提供更廣闊的發(fā)展空間。

而有關(guān)滲透測試的合法邊界，360法律研究院資深研究員馬可分析，物聯(lián)網(wǎng)和人工智能等的發(fā)展，會導(dǎo)致滲透測試在進(jìn)行授權(quán)模式建立過程中，不僅需考慮傳統(tǒng)的資產(chǎn)測試與保護(hù)邊界，還將不得不增加考慮人身安全等更為復(fù)雜的測試環(huán)境。加之，網(wǎng)絡(luò)安全是個整體，你中有我，我中有他，通過對第三方漏洞平臺，以及平臺注冊白帽子的一系列、多層次的資質(zhì)認(rèn)證、認(rèn)可，最終形成白帽子和漏洞平臺的信任機(jī)制，可能是一個值得關(guān)注和努力的正確方向。

規(guī)范和邊界的探尋之外，激勵制度和適度容忍空間的賦予同樣推動著白帽子正向評價的形成。胡曉娜補(bǔ)充稱，做好對“白帽子”群體的扶持和激勵，提升整個行業(yè)白帽待遇，對構(gòu)建良性的漏洞生態(tài)具有積極的作用?；诖耍?60集團(tuán)不斷通過多種渠道發(fā)聲，希望建立可落地，可執(zhí)行的漏洞標(biāo)準(zhǔn)和管理辦法，對行業(yè)進(jìn)行必要引導(dǎo)和規(guī)范，從而應(yīng)對未來更加多元、復(fù)雜、嚴(yán)峻的網(wǎng)絡(luò)空間安全風(fēng)險。

今年兩會期間，360集團(tuán)創(chuàng)始人、董事長周鴻祎還帶來了一份《關(guān)于網(wǎng)安特殊人才認(rèn)定和激勵政策的提案》。他建議，要采取特殊人才認(rèn)定和激勵政策，提高社會對這個群體的理解和認(rèn)可，也增強(qiáng)他們對國家的認(rèn)同感，激勵他們?yōu)榫W(wǎng)絡(luò)強(qiáng)國建設(shè)做貢獻(xiàn)。

漏洞是個永恒的話題，而漏洞的發(fā)現(xiàn)更多要靠人來解決。因此，只有通過對白帽子的正向激勵政策和負(fù)面行為限定評價，對行業(yè)進(jìn)行必要引導(dǎo)和規(guī)范，才能應(yīng)對未來更加多元、復(fù)雜、嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險。

關(guān)鍵詞： 漏洞生態(tài)治理 白帽黑客