在网络安全领域,白帽子是一个特殊的群体。他们挖掘漏洞提交给企业修复,确实保护了用户安全;但是以黑客技术挖漏洞,又引发不少争议甚至法律风险。
在2月23日360安全应急响应中心(简称360SRC)的三周年庆典活动上,360董事长周鸿祎态度鲜明地表示,对于善意的白帽子,企业应给予支持和理解的态度,呼吁政府出台政策对白帽子这类安全人才进行保护和鼓励。360还特别邀请了资深律师讲解“白帽子的行为边界”,为白帽子保护自身利益提供法律援助。
未知攻,焉知防
白帽子是随着网络安全发展而出现的一个技术群体,他们以推动企业修复漏洞为目的,运用黑客技术对企业网络和产品进行渗透测试。
360董事长周鸿祎认为,“很多系统漏洞都是未知的,你根本不知道它存在,怎么防御?常用的方式就是我通过模拟攻击,就像演习一样,也要有红军和蓝军,只有假想的对抗,才能把漏洞找出来。这个角色,除了企业自己的安全人员,只有白帽子能扮演。”
在国外,谷歌、Facebook等互联网巨头率先开始为报告漏洞的白帽子提供资金奖励,去年美国国防部还专门举办了“攻击五角大楼网络”的黑客比赛,吸引白帽子给自己找漏洞。中国互联网行业近年来也兴起了SRC模式,就是由企业授权白帽子进行漏洞挖掘,并根据漏洞的危害程度、影响范围提供对应的奖金。在过去一年,360SRC为白帽子发放漏洞奖金达到上百万元。
白帽子的“双刃剑”
黑客挖掘漏洞具有双面性,既可能造成网络攻击,也有利于预防网络攻击。白帽子使用黑客攻击技术,和非法入侵之间界限模糊,加之国内并没有专门针对白帽子的相关政策,这也让白帽子常常处在法律风险中。之前有白帽子向某交友网站提交漏洞,却被报警抓捕,这也让很多白帽子对于给企业报告漏洞心存忌惮。
周鸿祎认为,白帽子检测一个系统是不是安全的过程,本身应该说都是灰色的,如果没有法律保护,理论上会没有人再愿意做白帽子,这样会掩盖很多安全问题,反而伤害到用户利益。
360SRC三周年活动庆典上,在网络安全法领域有着深入研究的陈圣律师提出“白帽子的行为边界”,详细解读了我国现行法律法规中对白帽子挖掘安全漏洞的多重限制。从现行法律层面,对白帽子行为加以引导和规范,从而更好地保护白帽子的人身安全。
周鸿祎说,挖掘和修复漏洞对于建设网络强国有战略意义,如果不能保护安全人才,就没有安全技术的发展,更谈不上网络安全。
