360 Vulcan团队闪耀拉斯维加斯,下周现身ISC 2019
星期三, 八月 14, 2019
15 年前的雅典奥运会,中国 110 米栏运动员刘翔成功夺冠,打破了黄种人在奥运短跑项目无人夺冠的局面。在刘翔夺冠的 15 年后,被称为 “黑客奥运会” 的 The Pwnie Awards 在美国拉斯维加斯颁奖,来自 360 Vulcan 团队的招啟汛打破了连续十二年没有中国人得奖的局面,拿下最具含金量的 “最佳提权漏洞奖”。
另外,360 Vulcan 团队的古河在微软公布的 2019 全球最具价值安全精英榜上排名第一,成为名副其实的 “全球最牛黑客”。
据安全牛收到的可靠消息,在 8 月 19 日举行的第七届互联网安全大会 (ISC 2019),360 Vulcan 团队的古河和招啟汛都将现身,让外界有机会见到这支神秘的黑客团队。
没有网络安全就没有国家安全,今年国际上一系列与网络安全相关的事件,再次证明了这一点。
3 月,委内瑞拉最大的水电站遭到网络攻击,造成连续数周的全国大断电,社会秩序受到严重影响;
6 月初,美国《纽约时报》爆料,美国政府官员承认早在 2012 年就在俄罗斯电网中植入恶意代码,可随时发起网络攻击。
6 月底,伊朗击落美国无人机,美国网络部队对伊朗多个军事、情报机构发起网络攻击作为报复,公然发动网络战。
随着技术的发展,网络安全已经与国家安全、社会安全、百姓生活稳定息息相关,网络安全涵盖的范围由信息安全、系统安全和网络基础设施安全,扩展到物理空间的关键基础设施安全、金融安全、能源安全等更多方面。
网络攻击被一部分国家和国际上恐怖组织当成了越来越常见的攻击手段,用极低的成本就能造成极大的破坏,因此网络安全被越来越多的国家所重视,全球已有 100 多个国家组建了自己的网络部队。
虽然人工智能、大数据等技术被广泛运用在网络安全领域,但网络攻防的本质仍然是人与人的对抗,是高水平黑客之间的较量,用实力说话容不得半点掺假。
提到中国黑客,就绕不开 360。
360 创始人、董事长兼 CEO 周鸿祎是程序员出身,一直对黑客文化推崇备至,他也是中国互联网大佬里面,最早意识到黑客价值的人。
在中国的互联网巨头中,只有 360 是愿意花大价钱发掘和培养黑客的,360 现在拥有 5000 多名员工,其中技术人员就接近 4000 人,专门从事网络攻防相关技术研究的就超过 1000 人,360 还拥有 17 支黑客团队,聚焦于态势感知、漏洞挖掘等网络攻防的细分领域。
黑客很难为公司带来收入,在 360 也不例外。到目前为止,360 都是在用互联网业务的收入养活安全业务,但在 360 内部,黑客团队的地位相当高,黑客出身的郑文彬是 360 Vulcan 团队创始人,目前他已经做到 360 集团首席安全技术官,这在其他互联网公司是难以想象的。
近年来,国内多家互联网巨头都越来越重视安全业务,其中有些公司希望用更多薪水来 360 挖高水平黑客,但都不是很成功。
对于黑客这样一个特殊的群体,他们更愿意追随技术上的强者,而不仅是更高的薪资。更关键是的,黑客是很难 “管理” 的,黑客天生就崇尚自由,打破常规,这与互联网公司常见的 996 产品经理和程序员完全是两回事。
所以,既不能为公司带来收入又不好管理,还有可能打破不同技术部门之间的平衡,可以说国内 99% 的互联网公司都没有适合黑客存在和发展的土壤,只有 360 做到了,并坚持做了十几年,这才有了东半球最强大的白帽子军团。
如果说360是中国互联网公司里最重视黑客的,那么美国是全球最重视黑客的国家。
周鸿祎在今年的强网杯论坛上透露过,过去中国没有网络安全攻防比赛,这类大多在美国举行,包括 360、腾讯等中国公司都会组织多支白帽子团队参赛,一些顶尖的白帽子黑客都收到了美国递来的橄榄枝,欢迎他们去美国工作。
360集团董事长兼CEO在强网杯论坛讲话
周鸿祎还发现一个奇怪的现象,很多网络攻防比赛没有美国的参赛团队,“因为美国人水平不行吗?错了,我们都知道美国的网军、黑客团队,网络攻击能力全球最厉害,人家不来参加比赛,是不愿意把他的技术暴露出来。”
后来周鸿祎才了解到,网络漏洞是被美国当局作为网络军火一样进行控制的,不允许它的研究人员到《瓦森纳协定》控制出口的国家来进行技术研讨和交流。即使其他国家发出邀请,美国当局也不允许美国官方或者军方的研究团队,到他们认为是对手的国家参加网络攻防的大赛。
而对于其他国家的顶级黑客,美国是相当关注的,尤其是 360 现在已经变成完全内资的中国公司,为中国网络安全服务。
这次在美国拉斯维加斯召开的 Black Hat 大会,微软发布 2019 全球最具价值安全精英榜,360 共有 10 人上榜,但没有一位上榜的黑客到现场领奖。
微软发布2019 MSRC全球最具价值安全精英榜
但在黑客领域,一切凭实力说话。即使没有一位 360 的黑客来到 Black Hat 大会现场,但凭着过去一年挖掘漏洞的数量、质量和影响力,360 照样成为 Black Hat 最大赢家,闪耀拉斯维加斯。
外界很少见到 360 的黑客团队,其实并不是 360 故作神秘,而是大部分黑客本身就只对技术感兴趣,不善言谈也不愿意抛头露面,甚至走在人群中,也很难引起别人注意。
大众可能受《黑客帝国》电影影响太深,认为黑客都是穿风衣,戴墨镜,长得都像基努李维斯,但实际上他们也都是普通人。周鸿祎曾说过,有政府领导来 360 视察时提出想见一下 360 的黑客团队,“领导见了后,都是两个眼睛一个鼻子没有什么特殊的。”
唯一让领导们惊奇的是,360 很多黑客都没有大学文凭,而是凭着对计算机技术的热爱,自学成才。这符合周鸿祎的观点:网络安全都是真刀真枪干出来的,再多的论文、再多的专利也不能让网络更安全,讲一百遍不如打一遍。
今年是互联网安全大会 (ISC) 的第七年,这个由 360 互联网安全中心创办的大会已经成为亚太地区最有影响力的安全峰会,老周对今年 ISC 的期望也很实在——为国内安全行业多干些实事。
据悉,今年ISC主题是 “应对网络战,共建大安全,同筑大生态”,不再局限于安全行业讨论的议题:从国际形势来看,国别之间网络战有愈加明显的趋势,网络安全关系到国家安全、社会稳定和关键基础设施安全;从技术角度来看,人工智能、5G 网络、物联网设备、工业互联网等技术不断发展和大规模应用,网络安全已经从虚拟空间扩展至现实空间;从行业现状来看,中国网络安全行业的对手、环境、市场都发生了改变,迫切需要从过去各自作战、互相竞争的发展思路转变为构建生态、培养人才、合作共赢。
360 作为大会东道主,除了广邀中外网络安全专家,优秀网络安全企业,360 旗下的多只黑客团队也将在大会期间,与外界分享最新的技术趋势,其中就包括刚刚在微软 2019MSRC 包揽前两名的古河和招啟汛。
本次大会议程如下(以官网信息为准):
想了解网络战的应对措施吗?想聆听网络安全大咖的故事吗?快来报名参加ISC 2019 第7届互联网安全大会吧,北京雁栖湖国际会展中心等你相约!