探寻商业本质

预见商业未来

品途解读：世界上没有一家企业是绝对安全的，不管是管理层面、流程逻辑层面、协议层面、防护层面等等，总有可以让黑客掌握的漏洞来攻击。

文/赵子潇

编辑/尹天琦

我们经常能够看到数据泄露的新闻，黑客轻而易举就能得到用户的个人隐私。

2017年5月，一种勒索病毒软件WannaCry在全球范围内疯狂传播，给广大电脑用户造成了巨大损失。至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。

在WannaCry爆发的几个小时之内，已经有白帽子在漏洞银行平台上提交了这个漏洞，并说明此漏洞接下来会大规模爆发。漏洞银行创始人&CEO罗清篮带领团队第一时间对WannaCry捕获的样本进行了系统性分析，理清病毒编写者的思路，根据思路的弱点针对性的进行防御。快速响应防御模式使得漏洞银行服务的客户没有受到此次病毒的影响。

WannaCry揭示了网络安全在当今的重要程度。今年6月1日，中国《网络安全法》正式施行，意味着不仅是需要打击黑客犯罪，企业同样有责任保护用户数据不被侵犯，这也成为了信息安全平台的意义。

众测服务

白帽子，黑客的对立面，虽然也对技术疯狂痴迷，但是不会做违法的事情，而是公布漏洞，这样系统就能在被其他人利用之前修补漏洞。

漏洞银行是一家白帽子聚集的平台，并为企业提供众包测试服务。作为平台，漏洞银行连接了企业和白帽子群体，帮助企业快速发现应用中存在的薄弱环节，除了Web以外，手机App 也会有安全检测的服务，移动端和网页端，漏洞银行都可以覆盖。

企业可以入驻漏洞银行获得自己的安全应急响应中心，当企业信息系统受到安全攻击时，可以及时在这里发布官方公告，让公众能够通过一个统一的渠道了解事态的最新进展，避免信息混乱与谣言的产生。安全响应中心也是企业与白帽子交互的地方，企业可以发布测试需求与要求，引导白帽子进行可控的安全测试，在不影响正常运行的前提下主动寻找系统的薄弱环节，将安全隐患扼杀在萌芽时期。

“白帽子实际上是很单纯的群体，这群人的分布各式各样，安全公司员工，学生，甚至从事正常工作的人，基本上把自己的业余时间都在发现漏洞，统一的特质是对技术充满了无限的热爱，也愿意为网络安全事业不计成本的付出。不单纯为了名利，想磨炼自己的技术。”

罗清篮认为，目前市场上漏洞的价值被严重低估。不少黑客发现网站、移动端的漏洞后，向企业报告，却没有得到合理的报酬。这在客观上导致许多黑客不会选择做白帽子，而是成为黑色产业链中的一环：发现漏洞后就盗取用户数据，将它们卖给这家企业的竞争对手。

漏洞银行可以利用市场化手段“收编”黑客，让他们帮助企业修复漏洞。在收益方面，企业会拿出金钱悬赏漏洞，一旦有白帽子发现漏洞即可获得相应报酬。

网络安全众测对于企业来讲是一项性价比很高的服务。美国最著名的众测平台之一HackerOne与五角大楼合作黑掉五角大楼活动(Hack the Pentagon)，仅用15万美元左右的奖金，就帮助五角大楼发现了1189个薄弱环节和138个高危漏洞。五角大楼的官方发言人国防部长阿什顿•卡特曾表示，安全众测比雇佣承包商来做好得多，也比出事后再发现好得多。如果按照通常做法，五角大楼雇佣承包商的花费将超过100万美元。

漏洞银行线上服务主要为漏洞的发现，线下则针对企业的安全问题进行解决。包括全方位渗透测试以及应急响应等解决方案，当企业遭受攻击时，漏洞银行可以迅速派出安全专家驻场。

据悉，漏洞银行在2015年完成了A轮融资，资方为软银中国。

生态模式

罗清篮特意提及，漏洞银行平台上提交漏洞都经过了企业的授权。同时，漏洞银行在企业发起众测的时候，白帽需要把自己的IP或设备指纹在漏洞银行数据库进行备案，并引入安全专家审计，形成企业、白帽、安全专家三位一体的共同督促。

罗清篮并不喜欢把竞争挂在嘴边，在他看来，漏洞银行的真正价值是和白帽子一同成长，而不是打压对方。另一方面，网络安全市场太过小众，让越来越多的人加入白帽子群体，才是行业发展的基础，同时也是网络安全生态的基础。

实际上，网络安全人才一直是存在巨大缺口。中国网络空间安全协会竞评演练工作委员会副主任委员李舟军曾表示，我国网络安全专业人才的缺口高达70万，高校学历教育培养的网络安全人才只有寥寥几万人，远远跟不上网络安全需求。 360公司首席安全官谭晓生认为，安全领域的人才需要会有爆发式增长，而漏洞挖掘领域也会有大的人力需要出现。

罗清篮认为，白帽子对磨练自身技术都有同样的渴望，所以漏洞银行采用一系列线上线下的活动，使其产生社群效应。例如，漏洞银行会对某些单独的白帽团队做专访，邀请一些技术大牛开直播教授经验。

目前，漏洞银行平台上已有15000名白帽，3000家企业授权众测，服务的企业也达到1000家。随着企业安全越来越被重视，且人力成本越来越高，罗清篮表示，中小企业在信息安全方面更多会选择第三方服务而非招聘安全技术专家。

数据安全

9月8日，美国征信企业Equifax披露，公司网站遭遇黑客攻击，有1.43亿美国人信息数据被泄露。也就是说，美国近一半的公民因为此次数据泄露而陷入危险之中。这样特殊的案例让罗清篮认识的更加清楚，网络信息没有绝对的“安全”。

“攻与防是对立的永恒的概念，只要有人在防御就一定会有攻击。”罗清篮认为，世界上没有一家企业是绝对安全的，不管是管理层面、流程逻辑层面、协议层面、防护层面等等，总有可以让黑客掌握的漏洞来攻击。漏洞银行CTO张雪松在讲述到黑客的核心目标就是，寻找所有的漏洞，把所有的相关信息收集起来，做成一个作战地图，根据这张作战地图去分析你在整个数据保护、信息架构等层面存在的漏洞。这些漏洞有技术上的漏洞，也有思维上的漏洞，还有相关流程和规则上的漏洞，只要黑客足够有耐心，就能确保可以攻陷系统。

随着人工智能技术的发展，技术正在改变物理世界，安全问题会暴露的更加严重。电影《速度与激情8》中，黑客轻而易举的通过漏洞使交通瘫痪。当自动驾驶、机器自动化进入大众生活的时候，用户数据更容易获得，数据量成倍增长，黑客寻找漏洞的机会大大增加。

另外，过去的互联网是分布式结构，用户数据分布在每一个用户的终端里面，相对独立；而现今互联网最大的问题是数据集中化，对黑客来说仅需要攻击一个服务器就可以，不需要逐个突破，对于用户隐私来说非常危险。

针对此方面，罗清篮给出的建议是加大黑客的入侵成本。安全成本投入的提升，威胁就会越来越小，黑客的入侵成本也会提高。“实际上很多企业没有把安全投入到最重要的方面，没有投入到与入侵成本有关的方面。所以在这种基础之上，我建议企业一定要学会利用黑客的思路进行布防，我们最关注的就是如何能够提高黑客的入侵成本，用黑客的视角来进行防御。”

【转载须知】

1.文章为品途商业评论原创作品，欢迎转载。

2.转载时请在文章开头注明“文章转自品途商业评论，ID：pintu360”，作者标注原文作者。

精彩文章推荐

好文

科技

新零售

文娱