“补天白帽大会‘向上生长’的主题,与数智时代下,要加快提升实战化安全能力的要求不谋而合。”12月22日,2023补天白帽年度盛典在深圳举行,奇安信集团董事长齐向东在视频致辞中表示,补天一直致力于通过推进技术成果交流共享、构建合作互动通道、开展针对性能力培训等方式,激活白帽的实战化能力。
聚焦实战 聚力培养实战化白帽人才
作为补天漏洞响应平台十周年之际举办的年度盛典,本次大会邀请了来自厂商、院校、研究机构的重磅嘉宾和顶尖白帽汇聚一堂,共同探讨实战化白帽人才培养思路和前沿实战技术。
实战化白帽人才队伍能力逐渐全面、均衡、优化发展。补天漏洞响应平台负责人田朋在会上做了白帽驱动安全的主题演讲并发布了《2023中国白帽人才能力与发展调研报告》和《2023中国实战化白帽人才能力白皮书》。报告显示,相当一部分新入行的白帽子选择了人才相对稀缺的高级安全工具(高阶)、编写PoC或EXP(高阶)、掌握CPU指令集(高阶)等方面能力的学习,且高级安全工具的平均掌握率从202年的23.9%增长至29.2%,有显著上升。
但在未来相当长一段时间,高水平实战化白帽人才仍将比较稀缺。报告显示,平均每7个白帽子,才有一名白帽子掌握系统层漏洞利用与防护的实战化能力,人才培养工作任重而道远。
顶尖白帽的技术分享一直是大会的重头戏之一。来自CertiK、山东大学、阿里云安全、Day1安全团队、奇安信天工实验室等安全团队的顶尖安全专家分享了各自的研究成果和研究过程中的心得。
CertiK首席安全官李康从自身经历出发,分享了传统白帽如何进入web3安全领域,并分享了其所在团队近期发现的安全案例。
山东大学网络空间安全学院在读博士李蕊从设计理念、设计缺陷、修复策略三方面出发,分享了自己关于Android自定义权限(Custom Permission)机制安全性的心得;
阿里云安全工程师Y4tacker围绕字节码级别的混淆技术,分享了自己研究过程中发现的经典案例。
Day1安全团队的智辰Gison结合当前国内用户的网络使用习惯、文化背景和安全需求,分享了更具本土化、定制化、适合国内白帽入门的SRC威胁情报挖掘指南;
奇安信天工实验室安全研究员程予希则从白帽黑客和甲方安全人员两个视角出发,分享如何设计一款适合白帽黑客的二进制漏洞挖掘工具。
补天漏洞响应平台作为企业和白帽子之间的桥梁和纽带,已拥有长达10年的丰富漏洞平台运营经验。截至目前,已有注册白帽12万余名,累计报告漏洞总数近162万个,漏洞影响企业数超41.5万家。
为激励更多白帽人才在网络安全领域持续、深入探索,在补天白帽之夜上举行了隆重的颁奖仪式,先后颁发了“补天平台年度白帽”系列奖项,“向上生长”团队奖励计划系列奖项,补天杯破解大赛前三名,最受欢迎安全响应中心,奇安信安全应急响应中心系列奖项,三十多个获奖白帽及团队,充分展现了民间安全从业者的蓬勃活力。
构建良好的白帽人才培养体,离不开全行业的共同参与。陌陌安全应急响应中心和小米安全中心也在白帽之夜上,为平台的优秀白帽个人及团队颁发了奖项。OPPO安全中心、奇安信安全应急响应中心、赛博昆仑、字节跳动安全响应中心、滴滴出行安全应急响应中心、顺丰安全应急响应中心、微博安全应急响应中心等十余家企业SRC、近百名国内外优秀的安全实验室及安全团队参与了本次活动。
“没有大家的坚持和努力,就没有安全的网络空间。”齐向东表示,相信未来一定会有更多更强的“白帽大神”、“挖洞专家”与网安行业携手前行,助力网安事业“向上生长”。
- END -