引子

總有人想從你身上得到一些東西。他們想得到你的名字、你的電話、你的住址、你的車牌、你的房產(chǎn)、你的社保號碼、你的愛好、你的消費記錄、你的GPS定位、你的戶籍信息、你的開房記錄、你的家人信息、你的所有歷史和你之所以成為你的全部密碼。

但是，他們想要了解你的一切，并不是出于好奇。你在他們眼中，只是一個符號。一個堆積起來可以換錢的冰冷籌碼。這些黑客們利用各種網(wǎng)站和系統(tǒng)的漏洞，從各個平臺竊取用戶的信息，并且高價賣給詐騙分子和網(wǎng)絡大盜。

正如小說中白衣如雪，來去如風的俠客一般，在我們身邊同樣存在一群這樣熱血涌動的人，他們不忍心看到這個世界沉淪，他們就是“白帽子”。

這些白帽子也許激情四射，也許木訥寡言，他們就像你我身邊那些普通的朋友，經(jīng)歷著普通人的悲歡離合。只不過，在網(wǎng)絡世界里，他們像補天的女媧一樣，用一顆顆五彩石修復一座座賽博大廈的裂隙。

他們普通又神秘，他們低調又熱血。

漏洞平臺，正是白帽子聚集的戰(zhàn)場。他們在這里向企業(yè)提交漏洞，守衛(wèi)互聯(lián)網(wǎng)的安全。這次硬創(chuàng)公開課，雷鋒網(wǎng)宅客頻道請到了補天漏洞平臺掌門人白健、補天平臺首席美女運營小花還有360企業(yè)安全市場部美女徐粲然，他們在一場顏值爆表的直播中為我們還原了真實的補天白帽子。

【小花、白健、徐粲然】

以下是直播文字要點整理：

我們?yōu)槭裁葱枰酌弊樱?/h2>

白?。浩鋵嵲谖铱磥碓谀壳罢麄€體系建設不是特別健全的情況下，我們個人的信息安全、企業(yè)的信息安全甚至到國家的信息安全都會受到一些危害。我不知道大家有沒有關注2016年徐玉玉的案件。

徐玉玉的案件其實就是犯罪嫌疑人杜天禹利用某一個招生網(wǎng)站的漏洞拿到了一批高考學生的信息，然后又把信息賣給了另外一個犯罪嫌疑人陳文輝，陳文輝雇人假裝教育局的一些工作人員騙取了瞿玉僅有的9900塊錢學費和生活費，最后導致瞿玉這位同學傷心過度最后不幸去世了。

這件事情受到廣大網(wǎng)友的廣泛關注，案件很快偵破，整個事情也公布給全社會。通過這件事情我們可以切身感受到，在網(wǎng)絡安全方面對個人信息安全的危害已經(jīng)到了一個非常嚴重的地步。

說到企業(yè)安全上，美國的第二大保險公司 Allstate，它的三千萬的保民信息以及他的員工信息全部被人扒走，其實我覺得這不光是影響這家企業(yè)，影響到他的保民，甚至影響到美國對國家的一些公民信息，這種危害是非常嚴重的。

360 企業(yè)安全集團董事長齊向東曾重述了習主席的觀點：網(wǎng)絡安全為人民，網(wǎng)絡安全也得靠人民。那網(wǎng)絡安全靠哪些人民呢？其實這個人民中就有一個特殊的群體我們俗稱白帽子，他們有機會有能力幫助大家來解決安全問題。

小花做補天的運營，她就跟白帽子這個群體關系非常好。所以接下來由你來介紹一下白帽子的情況。

白帽子是什么樣子的？

小花：齊總給白帽子搖旗吶喊的講話在我的朋友圈已經(jīng)被刷屏了，我特別為我的白帽子朋友們感到很有成就感。因為他們在做一件正義的事情，現(xiàn)在補天已經(jīng)有 31154 名白帽子了，這個量是非常大的，他們已經(jīng)維護了四千多家廠商的信息以及網(wǎng)絡安全。

在補天有我三位關系特別好，我對他們也很了解的白帽子?？傆泻芏嗳ν獾呐笥讯荚趩栁遥靶』?，什么是白帽子??？”我覺得我有必要說一下我這3位朋友神奇的故事。

其中一位叫華不再揚，他在深圳工作。當時《安在》發(fā)表了一篇有關華不再揚的報道，名字叫做《從鞋廠工人到漏洞達人，90后游戲少年的逆襲》。他是一個特別靦腆的男孩，在我第一次見他的時候。但是，他給我們白帽子開講座講的議題特別的干，很多白帽子都在做筆記。后來跟隨著他的一些采訪，我發(fā)現(xiàn)他竟然是從小打游戲的人。

他和他女朋友是大概網(wǎng)戀了5年，然后線下見面之后慢慢確立關系直到結婚，現(xiàn)在已經(jīng)有了寶寶。

第二位叫做衰大。衰大是我在補天白帽子里面比較欣賞的一類了，不是因為他的顏值，而是因為他很紳士。

我為什么對他有這么大的印象呢？是在去年4月9號，360 眾測發(fā)布會的時候，所有白帽子都背著一個雙肩包來，只有帥大一個人拎著一個行李廂，當時我還特別嫌棄，我說為什么只有兩天你還拎一個大箱子過來呢？他打開里面，都是給我們帶的新疆的切糕。那會兒新疆切糕非常貴的。他帶著一箱子的切糕還有大棗，還有葡萄干，把我們感動壞了。我覺得這個人好有心，后來一接觸才發(fā)現(xiàn)他確實挺暖的。

還有一位白帽子 hckmaple，雷鋒網(wǎng)《宅客頻道》對他做過專訪，前幾天很多人都在轉載他的故事。據(jù)我所知這個帖子發(fā)出去之后有很多男生問他聯(lián)系方式的。

他是一個跨專業(yè)的人才。他的專業(yè)是硬件，但是他就選了做一個白帽子。他的故事特別熱血，有一段時間我找他聯(lián)系，希望他給我們錄制一個課程。他說他在醫(yī)院，我就特別好奇，看著特別強壯的一個人怎么能去醫(yī)院呢？原來他是患了中耳炎復發(fā)然后去醫(yī)院診治，但是即使在那個時候，他的排名仍舊是補天的第二。

什么樣的人能成為白帽子？

白?。篽ckmaple 是我們平臺上少有的科班出身的白帽子。其實我們白帽子同學很多人都很單純也很優(yōu)秀，但是有點遺憾的是很多同學的學習不是特別好，我覺得可能是我們的培養(yǎng)體制上不是特別的完善，很難兼容這部分人。所以我在這里呼吁我們的教育體系能給白帽子更多的機會，這樣你才能不拘一格。另外，我們的企業(yè)在招聘的時候也不要把標準定的太高。

我昨天還看著朋友圈，有一個企業(yè)在招白帽子，限制的是一定要985、211的畢業(yè)生。這要求很高，我們白帽子沒有幾個能達到這個水平的，其實他們能力是很強的，所以我覺得一方面是我們的教育體系可能要對這部分人多一些，作為一個兼容性，有更多機會。另外，我也呼吁我們的企業(yè)在目前的環(huán)境下可以給白帽子更多的更寬松的一個工作環(huán)境。

和白帽子在一起時間久了，我確實切身地感受到大家都非常單純，也非常的具有正能量，也很有抱負。所以其實可以說每一個白帽子背后都是一段屌絲逆襲的故事，特別特別有趣。每一個白帽子也都希望自己從一個小人物成長為安全大人物，都有自己的夢想之路。我們做補天平臺這個事兒也是希望給大家創(chuàng)造這么一個環(huán)境和機會，實現(xiàn)夢想。

白帽子可以獲得什么獎勵？

白?。?span style="line-height: 1.8;">對于白帽子來說，給企業(yè)提交漏洞有兩方面的收獲：

第一，安全能力得到體現(xiàn)和尊重。很多企業(yè)客戶對白帽子交上來的漏洞都表示非常感謝，甚至還有一個客戶很典型，他請了一個白帽子在上海一起吃了一頓。當然，有時候這種感謝白帽子是不敢接受的，以為是廠商要找他們麻煩。但其實我覺得特別多的企業(yè)已經(jīng)認可白帽子的安全能力，也非常尊重他們。

第二，平臺也給白帽子提供了很豐厚的價值。物質，或者直白一點說就是金錢的回報也非常重要。補天平臺的獎金一直以來也是節(jié)節(jié)攀升，我們資深的白帽子在我們這兒也拿到了好幾十萬。

除了白帽子突出他的價值，得到我們獎金的回報以外，我們平臺也給白帽子提供了很多的法律相關方面的知識，讓大家及時去提醒，哪些事情是符合我們的法律法規(guī)，哪些可能不太好的，這也是很重要的。

我們不能一味地單純地講究技術，還得看目前的社會法律這塊。我們需要用正確的價值觀和方法來幫助企業(yè)，幫助國家，來解決網(wǎng)絡安全問題。

我們對大部分的企業(yè)服務都是免費的，補天平臺承擔一些運營經(jīng)費，幫企業(yè)免費提供漏洞?？赡苓€有少量的企業(yè)需要更高端的一些服務，所以會收一些增值的費用來補貼補天的運營，但是補天的平臺我們是不追求盈利的。公司也不要求我們賺錢，只是希望我們把這個公益的事情做的更長久些。另外一方面，其實我們也努力找更多的行業(yè)界的同仁我們一起來辦一個開放，大家互相合作的平臺。白帽子的群體是可愛的一群年輕人。我們想把他們引導好、組織好，一起為網(wǎng)絡安全、企業(yè)安全、國家安全做點事兒。

入駐補天的標準

白?。鹤鳛槠髽I(yè)，只要免費在我們網(wǎng)站注冊一下，我們認證了網(wǎng)站所有者的身份就可以。你會發(fā)現(xiàn)如果網(wǎng)站有漏洞補天是免費推送的，這是一個最基礎的服務。如果大家想通過白帽子主動收集更多的漏洞，就需要承擔一些白帽子的獎金和稅費，我們平臺不會額外收取其它費用。

在平臺的信息安全方面，因為我們是 360 旗下的一個品牌，所以在安全防護上和 360 的要求是一致的。另外，我們做安全時的假設前提就是認為存在信息泄露的風險，所以我們在管理上面額外做了很多的要求。

首先，我們招聘員工時有很嚴格的要求，背景調查和工作領域等等。

其次，我們網(wǎng)站的后臺只有在我們的內網(wǎng)才能訪問的。

再次，我們員工的電腦全部裝了終端管控軟件，并且全流量鏡像和分析網(wǎng)絡流量。這樣就能有效地防止員工出現(xiàn)失誤導致信息泄露這種事情的發(fā)生。

另外，我們的漏洞審核也是分為幾層進行。一線員工審核完成之后，還有上級的復核，避免審核的差錯，例如漏洞分類、評級的差錯等等。

同時，我們還積極接受白帽子的追訴或者企業(yè)對漏洞再進行進一步的確認，多維度交叉核實。

RSA 上最新的安全趨勢

白?。涸?RSA 安全大會上我和其他平臺的同行做了一些交流。我總結了以下幾個收獲：

第一，我們得有自信。我們的漏洞平臺，我們的白帽子群體不比西方國家運營能力差。

第二，我們還是要加強一些國際的合作，比如對一些通用型的漏洞我們可以建立一些通報機制來做一些修復。另外對于測試，我們也可以導入一些國際力量來做。同時我們也努力給核心的白帽子創(chuàng)造一些跟西方國家白帽子切磋交流的環(huán)境。比如 BlackHat 等會議，我們會組團和西方的隊伍進行演練。

第三，RSA今天的主題是“Power of OpportUNITY”，字面意思應該是機會的力量，但是它最后的“UNITY”是大寫的，也就是說這次會議想強調聯(lián)合。所以這也是我們這次去參會的一個原因，我們也希望聯(lián)合各方面，聯(lián)合國內同仁，聯(lián)合我們整個群體，甚至聯(lián)合國際一些國際的網(wǎng)絡群眾體。

現(xiàn)在整個網(wǎng)絡安全，我覺得國與國的邊界越來越模糊。根據(jù)我們 360 在 2016 年的網(wǎng)絡安全的報告來看，2016 年中國網(wǎng)站遭受的攻擊中，百分之二十幾的比例是來自境外。另外，我們防護的網(wǎng)站中有30% 的境外網(wǎng)站也受到攻擊。所以這種邊界是越來越模糊的。

而且我們還同時看到，有一些不法分子利用自己的掌握的一些能力和技術潛藏在國外，反過來滲透我們的網(wǎng)站，做一些數(shù)據(jù)竊取、植入后門、敲詐勒索這樣一系列的事情。所以我們希望聯(lián)合國內外的所有力量一起來維護網(wǎng)絡安全問題。這是我自己這次 RSA 的一些收獲。

徐粲然：說到合作，為了和全球白帽、技術精英一起交流，補天平臺會在2017年3月30日在深圳舉辦首屆補天白帽大會。我們會邀請國內外知名白帽、技術精英、安全愛好者，與網(wǎng)絡安全相關主管機構和知名企業(yè)和機構的CISO一起參與，解讀當前網(wǎng)絡安全形勢和安全威脅，探討漏洞響應與防范方案，同時分享交流漏洞挖掘與安全功防等沿議題，到時候也歡迎大家來玩。

本期公開課完整視頻請戳這里

本文由雷鋒網(wǎng)宅客頻道獨家首發(fā)（微信搜索：宅客頻道）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。