第六屆補(bǔ)天白帽大會召開：多方聚力推動白帽人才實(shí)戰(zhàn)化能力發(fā)展

摘要： 白帽驅(qū)動安全 2022補(bǔ)天白帽大會在上海召開

11月3日，2022補(bǔ)天白帽大會在上海召開。來自政府、廠商、研究機(jī)構(gòu)的重磅嘉賓和頂尖白帽匯聚一堂，圍繞培養(yǎng)實(shí)戰(zhàn)化網(wǎng)絡(luò)安全人才、構(gòu)建多元化人才培養(yǎng)體系進(jìn)行深入探討，并分享先進(jìn)白帽技術(shù)在實(shí)戰(zhàn)場景中的應(yīng)用。

 

多方眾創(chuàng) 共話安全人才培養(yǎng)新模式
做好漏洞風(fēng)險防范治理和人才培養(yǎng)工作，是維護(hù)國家安全、保障網(wǎng)絡(luò)空間穩(wěn)定的必然要求。政產(chǎn)學(xué)研用各方對這一觀點(diǎn)達(dá)成了共識。
中國信息通信研究院副院長魏亮表示，當(dāng)前，培養(yǎng)白帽子等漏洞人才、做好漏洞資源管理，已成為各國的共同選擇和發(fā)力方向。希望通過各方攜手共建，做好漏洞管理及漏洞人才隊(duì)伍建設(shè)，打造漏洞治理新范式，為漏洞治理和人才培養(yǎng)持續(xù)貢獻(xiàn)更大力量。

相關(guān)法律法規(guī)也為漏洞治理和人才培養(yǎng)指明了方向。上海市通信管理局副局長王天廣表示，希望奇安信和補(bǔ)天平臺充分發(fā)揮領(lǐng)軍企業(yè)和第三方平臺的定位和作用，按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》和《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理辦法》的指引，引導(dǎo)白帽人才發(fā)展、做好網(wǎng)絡(luò)安全人才培養(yǎng)、打造良好的白帽生態(tài)，助力國家網(wǎng)絡(luò)安全技術(shù)能力和人才隊(duì)伍的整體提升。

 

共建實(shí)驗(yàn)室揭牌 探索高質(zhì)量人才培養(yǎng)新途徑
對科技創(chuàng)新和人才培養(yǎng)的需求，對高校和企業(yè)都提出了更高的要求。為進(jìn)一步促進(jìn)產(chǎn)學(xué)研用發(fā)展、共同培養(yǎng)國家高水平網(wǎng)絡(luò)安全人才，會上，奇安信集團(tuán)與上海交通大學(xué)現(xiàn)場簽署了合作協(xié)議，并為信息系統(tǒng)安全聯(lián)合實(shí)驗(yàn)室揭牌。

上海交通大學(xué)黨委書記楊振斌表示，上海交大和奇安信聯(lián)合建立信息系統(tǒng)安全共建實(shí)驗(yàn)室，正逢其時。聯(lián)合實(shí)驗(yàn)室的建設(shè)，將為推動相關(guān)領(lǐng)域的技術(shù)進(jìn)步和產(chǎn)業(yè)升級發(fā)揮積極的作用，在服務(wù)國家重大需求的同時，實(shí)現(xiàn)合作雙方的互惠共贏，為推動我國信息安全領(lǐng)域的發(fā)展作出應(yīng)有貢獻(xiàn)。

“數(shù)字時代，規(guī)?；囵B(yǎng)網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才成為新命題。”奇安信集團(tuán)董事長齊向東表示，網(wǎng)絡(luò)安全實(shí)戰(zhàn)化時代，高水平的網(wǎng)絡(luò)安全人才已經(jīng)成為稀缺資源、搶手資源。聯(lián)合實(shí)驗(yàn)室將發(fā)揮校企雙方優(yōu)勢，共同培養(yǎng)國家高水平網(wǎng)絡(luò)安全人才；補(bǔ)天大會也將持續(xù)激活白帽力量，引導(dǎo)白帽子用實(shí)際行動守護(hù)網(wǎng)絡(luò)安全，并不斷超越、尋求更大突破。以實(shí)際行動為中國的網(wǎng)絡(luò)安全人才培養(yǎng)、技術(shù)研發(fā)、能力提升做出新的更大貢獻(xiàn)。

 

 立足實(shí)戰(zhàn) 集聚力量培養(yǎng)實(shí)戰(zhàn)人才
“政企機(jī)構(gòu)亟需大量實(shí)戰(zhàn)型網(wǎng)絡(luò)安全人才來支撐網(wǎng)絡(luò)安全運(yùn)行。”奇安信集團(tuán)總裁吳云坤表示，北京冬奧會的網(wǎng)絡(luò)安全保障，離不開充足的、高水平的網(wǎng)絡(luò)安全工作人員，但當(dāng)前，面向?qū)崙?zhàn)安全運(yùn)行的運(yùn)維人員、安全分析人員、攻防滲透人員全面短缺：在國家實(shí)網(wǎng)演習(xí)中，防守單位需要借助第三方安全公司的力量，來彌補(bǔ)人員和能力的不足；大型企業(yè)搭建網(wǎng)絡(luò)安全運(yùn)行體系，也需要借助第三方安全公司的安全運(yùn)行服務(wù)，來彌補(bǔ)安全運(yùn)營、檢測處置、分析研判人員的數(shù)量和能力不足。吳云坤指出，需要聚合多方力量，多元化培養(yǎng)服務(wù)于實(shí)戰(zhàn)的人才，并提出了培養(yǎng)實(shí)戰(zhàn)型人才的關(guān)鍵點(diǎn)。

首先，產(chǎn)業(yè)規(guī)模是根本，足夠大的產(chǎn)業(yè)規(guī)模才能吸引和支撐高水平人才培養(yǎng)；第二，需要多元化培養(yǎng)模式，面向不同需求、不同種類的安全人才探索多種培養(yǎng)模式；第三，堅(jiān)持從實(shí)戰(zhàn)出發(fā)，立足甲方視角，從實(shí)戰(zhàn)中來、到實(shí)戰(zhàn)中去；第四，聚合多方力量，調(diào)動多方資源，聚集力量培養(yǎng)人才。
其中，補(bǔ)天漏洞響應(yīng)平臺將監(jiān)管機(jī)構(gòu)、廠商、白帽人才匯聚在一起，在是漏洞挖掘數(shù)量，還是人才培養(yǎng)、知識交流等方面，打造了全新的眾創(chuàng)模式，培養(yǎng)了大量寶貴的攻防人才。在北京冬奧會和冬殘奧會上，通過補(bǔ)天漏洞響應(yīng)平臺招募、選拔的“冬奧網(wǎng)絡(luò)安全衛(wèi)士” 24小時在線，發(fā)起超過2000萬次測試請求，測試總時長超過1萬小時，成功發(fā)現(xiàn)了大量有效系統(tǒng)漏洞和冬奧相關(guān)威脅情報(bào)，為冬奧網(wǎng)絡(luò)安全“零事故”做出了突出貢獻(xiàn)。

聚焦實(shí)戰(zhàn) 兩大報(bào)告描繪白帽人才畫像
針對當(dāng)前我國白帽人才特點(diǎn)及實(shí)戰(zhàn)化能力現(xiàn)狀，補(bǔ)天漏洞響應(yīng)平臺聯(lián)合奇安信行業(yè)安全研究中心，聯(lián)合發(fā)布了《2022中國白帽人才能力與發(fā)展?fàn)顩r調(diào)研報(bào)告》（以下簡稱“報(bào)告”）與《2022中國實(shí)戰(zhàn)化白帽人才能力白皮書》（以下簡稱“白皮書”）。報(bào)告顯示：當(dāng)前，我國白帽人才實(shí)力整體提升、10后嶄露頭角，但高水平實(shí)戰(zhàn)化白帽人才稀缺。

報(bào)告顯示，國內(nèi)白帽人才平均每人每年向各大漏洞平臺提交的安全漏洞數(shù)量為69個,較2021年增長46.8%；每年人均提交有效漏洞數(shù)超300個的“超級挖掘機(jī)”約占6.6%，白帽子的漏洞挖掘能力普遍提升。
令人驚喜的是，白帽人才的年輕化趨勢愈發(fā)明顯，00后、10后嶄露頭角。相比于2021年，80后、90后占比均有所下降，而00后、10后白帽數(shù)量增加，占比之和近44%，成為一支強(qiáng)勢崛起的“新勢力”。

《2022中國實(shí)戰(zhàn)化白帽人才能力白皮書》則將“實(shí)戰(zhàn)化白帽人才能力圖譜”進(jìn)行了拓展。最新調(diào)研成果顯示，在“實(shí)戰(zhàn)化白帽人才能力圖譜”所關(guān)注的3個級別、14大類、87項(xiàng)具體的實(shí)戰(zhàn)化能力中，各項(xiàng)能力總體的平均掌握率從2020年末的38.8%，提升至2022年7月的45.4%，提升了6.6個百分點(diǎn)，整體水平有所提升；但擁有高階能力的實(shí)戰(zhàn)化白帽人才比例出現(xiàn)了小幅下降。這也是必須引起重視的一個現(xiàn)狀：在當(dāng)前和未來一段時間里，高水平的實(shí)戰(zhàn)化白帽人才仍然較為稀缺。

補(bǔ)天漏洞響應(yīng)中心負(fù)責(zé)人田朋表示，實(shí)網(wǎng)攻防演習(xí)活動的持續(xù)開展，對于提升白帽人才實(shí)戰(zhàn)化能力有很大幫助。但高階實(shí)戰(zhàn)能力的學(xué)習(xí)和掌握難度較高，通常需要多年的學(xué)習(xí)和實(shí)戰(zhàn)經(jīng)驗(yàn)積累，才能初步掌握部分關(guān)鍵能力，同時夯實(shí)計(jì)算機(jī)基礎(chǔ)能力也尤為重要。“補(bǔ)天漏洞響應(yīng)平臺作為目前國內(nèi)最大的第三方漏洞收集和響應(yīng)平臺，將持續(xù)為白帽人才提供學(xué)習(xí)、交流、提升的平臺，不斷輸出高階人才。希望更多廠商伙伴尤其是國產(chǎn)信創(chuàng)廠商加入進(jìn)來，通過白帽力量守護(hù)產(chǎn)品安全、信創(chuàng)安全、國家安全。”

場景、技術(shù)深度結(jié)合 雙向交流
實(shí)戰(zhàn)化應(yīng)用場景中，數(shù)據(jù)安全和信創(chuàng)安全是當(dāng)前最重要的領(lǐng)域，也需要白帽力量守護(hù)。為進(jìn)一步推動相關(guān)領(lǐng)域安全建設(shè)，本次大會專門設(shè)立了“數(shù)據(jù)安全”和“信創(chuàng)安全”兩個分論壇，邀請主管單位、信息化企業(yè)、網(wǎng)絡(luò)安全及數(shù)據(jù)安全專家，圍繞論壇主題進(jìn)行研討和分享。
白帽技術(shù)分享環(huán)節(jié)，來自螞蟻光年實(shí)驗(yàn)室、天穹實(shí)驗(yàn)室、奇安信星輿實(shí)驗(yàn)室、代碼安全實(shí)驗(yàn)室、Supremacy安全機(jī)構(gòu)、奇安信天宮實(shí)驗(yàn)室、深藍(lán)實(shí)驗(yàn)室、阿里云等頂尖安全實(shí)驗(yàn)室及團(tuán)隊(duì)的安全專家、安全研究員，圍繞漏洞解析、協(xié)議解析、電子取證、車聯(lián)網(wǎng)、智能合約、攻防演練等多維度、不同領(lǐng)域的技術(shù)內(nèi)容和實(shí)戰(zhàn)技巧進(jìn)行了精彩分享。十余家企業(yè)SRC、近百個國內(nèi)外優(yōu)秀的安全實(shí)驗(yàn)室及安全團(tuán)隊(duì)參與了大會。
 
 

---