白帽子“变形记”
身价暴增 顶级人才年入千万 市场渐热 或是千亿级蓝海
■IT时报 许恋恋
5月12日起,利用Windows漏洞传播的“永恒之蓝”勒索蠕虫在全球范围内大规模爆发,影响近百个国家上千家企业及公共组织,我国至少有29372个机构遭到这一源自美国国家安全局网络武器库的蠕虫病毒攻击,保守估计超过30万台终端和服务器受到感染。该事件是“冲击波”病毒发生以来,14年一遇的严重网络安全攻击事件。
“永恒之蓝”为网络安全再次敲响了警钟,也让人们再次聚焦在这一领域潜伏多年的“白帽子”。《IT时报》记者对话多位“白帽子”,他们中有从事安全领域十几年的“老司机”,也有正值青春的“小鲜肉”,他们的经历,正是近年来中国网络安全变化的轨迹,也是Hacker(黑客)成长变迁的缩影。
6月1日,《网络安全法》正式实施,这一网络空间的基本法出台将为“白帽子”画一条明确的底线。
招安篇:“前半生做贼,后半生抓贼”
Hacker(黑客)这个词本无贬义,但在中国人的认知中,硬是将黑客分为正邪两派:帮助企业找漏洞的“白帽子”和职业破坏者“黑帽子”。在黑客这条路上,学历从来不是障碍,中专肄业的曾颖涛未成年就在黑客圈小有名气。
1997年出生的曾颖涛外号“毛毛”,今年刚满20岁。小学时因为打游戏开始了解外挂和病毒,初中痴迷电脑的他干脆放弃高中,报考了广东惠州一家中专学计算机,是学校有名的电脑“疯子”。
曾颖涛言语极少,性格腼腆,骨子里有着一股疯劲和狂热。在学校就读时,他发现了学校网站的一个漏洞,并将漏洞报告给了老师。然而等到快毕业时,他发现漏洞仍在,“有点生气,就起了恶作剧的心理,利用当初发现的漏洞黑掉了学校的网站。”正是因为这次恶作剧,他被学校退学,成了肄业生。
2015年,在家自学的“毛毛”看到一个旨在挖掘互联网安全人才的“神话行动”海选,他一路过关斩将,成功入围。2015年底,时年18岁的“毛毛”发现漏洞,破解了沃尔沃、比亚迪、别克三种品牌部分车辆的防盗系统,实现了1分钟无钥匙开锁,引起不小的轰动。后来,曾颖涛进入有名的360独角兽团队,靠着挖漏洞找到一份薪水丰厚的工作。
年前,靠挖漏洞就业的人还不多,但现在,曾颖涛所熟知的圈里的黑客们,大多进了安全企业。
“前半生做贼,后半生抓贼,”360安全监测与响应中心负责人赵晋龙如此总结他的“白帽子”生涯。2003年,中国家用PC迎来爆发,很多家庭有了PC,那时赵晋龙正在读初中,成为中国较早接触黑客技术的一批人。
当时中国对网络安全的概念很模糊,“办个论坛都可能被说成是传播黑客工具”,不像现在竞赛满天飞,野心勃勃的黑客们可以有安全的地方自由炫技。
大学毕业前,赵晋龙在圈子里是做攻击,俗称“找漏洞的人”。毕业后一直从事安全厂商的网络防护工作,“攻”“守”身份互换多年,现在赵晋龙已经不大愿意提起过往的岁月,现在他的工作是负责抓入侵者。以前把漏洞找出来,再告诉对方怎么修复即可,现在考虑更多的则是怎么防护,“还有谁进来?进来干了什么?有什么目的?”
像曾颖涛、赵晋龙这样的白帽子大多进了安全企业,这也是中国大部分白帽子选择的归宿。
创业篇:“每半年报价就涨三成”
当然,也有那么一群不安分的“白帽子”选择了创业,他们没丢老本行,选择在安全领域里“自立门派”。
2015年底,姚威和几个小伙伴一起创立了广州凌晨网络科技有限公司,帮助企业解决业务、资产及应用中的安全风险,包括互联网资产归属、持续威胁检测、敏感信息检测、风险预警等。作为一名资深“白帽子”,在公司的主营业务之外,他依然从事“挖漏洞”的工作,曾连续三年带领团队发表关于中国公共Wi-Fi安全的研究报告。
2013年以后,在政策和安全事件的双重驱动下,网络安全地位越来越高,安全领域新增的初创公司也越来越多。每年都有二三十家创业公司涌进网络安全市场,呈现出爆发式的状态,目前国内安全公司已经达到三四百家。越来越多的安全事件让姚威这样的初创企业尝到了甜头,创业以来,每半年公司服务的报价和成交额都会有一定的上涨,涨幅约为20%-30%,姚威向记者透露,每次安全事件以后,会有很多生意自己找上门。
第三方研究机构Gartner报告显示,我国企业级网络安全需求巨大,目前在国家工商总局注册的企业数超过1100万家,绝大多数企业均已接入互联网,但却缺少安全可靠的IT系统。随着企业网络安全意识的觉醒,企业级网络安全市场变成千亿级,甚至万亿级别的大蓝海。
和姚威一样,林榆坚也转向了创业。高中时,林榆坚就是一个经验丰富的白帽子,大学毕业后进入百度,2012年跳出互联网公司选择创业,成立安赛科技。林榆坚对“白帽子”的称呼不太感冒,他信奉的是“勿以漏洞论英雄”,认为“防护比攻击要困难得多”。
在林榆坚看来,大多数网络安全人员90%的时间都在从事防护方向的工作,“比如面对永恒之蓝,怎么去建立防护、降低危害、恢复数据,比利用NASA泄露的漏洞攻击别人要困难得多。”
翻身篇:“顶级‘白帽子’身价八位数”
曾经,即便是“白帽子”,也带着一层暧昧和隐晦的色彩,部分白帽子经常游走在法律边界,一不小心就会“踩线”。一方面漏洞在黑市的价格很高,另一方面则是无法可依,红线也不明确。2016年11月,全国人民代表大会常务委员会颁布《网络安全法》,2017年6月1日起施行,这一网络空间的基本法出台以后,白帽子不能踩的那条线就明确了。
“白帽子注册平台的时候有明确协议,不炒作也不披露漏洞,只是提醒企业修复,如果企业没在平台注册,也只会公布标题,比如某公司有某种类型的漏洞。”补天平台负责人白健被白帽子称为“白掌门”,他负责的补天平台上,白帽子主要都是企业信息安全人员,同行中安全公司技术人员以及学生信息安全爱好者,大多有着双重身份,“就像蜘蛛侠彼得·帕克一样,平时是日报社的记者,当大家遇到威胁时,就摇身变为大英雄。”
法律把“挖漏洞”这件事从灰色地带放到光明地带,白帽子的生存环境正变得越来越好,随着法律改变的还有薪水。2013年之前,安全人员的平均薪水只是与IT行业其他工种持平。2013年“斯诺登事件”之后,薪水开始水涨船高。2012年,一个最普通的安全研究员月薪是5000-8000元,“现在,网络安全人才成为香饽饽,一些顶尖人才的身价已经炒得很高了,互联网公司给出的年薪(现金+股票)达到了千万元级别。”白健感慨道。
根据能力不同,有技术的白帽子身价在几十万到几百万不等。薪水上涨的同时,“挖漏洞”得到的奖励也越来越丰厚,“现在行业内很多公司的SRC(安全应急响应中心)都非常健全,通过黑客技术挖到的漏洞都有人收。”姚威告诉记者。在补天平台上,发放的“悬赏”奖金总额达到了870万人民币。
“通过阳光手段能挣到钱,监管又很严,谁愿意做坏事呢?”曾颖涛腼腆地说道。
延伸阅读
全国安全人才缺口50万
白帽子这一群体的变化和近两年中国网络安全市场的变化如影随形,“白帽子”日益被尊重,创业公司的热情日益高涨,即将正式施行的《网络安全法》也将彻底扭转中国网络安全市场无法可依的窘境。然而新的网络环境也日益凶险,近期“永恒之蓝”病毒的始作俑者黑客组织Shadow Brokers又发布了一篇声明,将从2017年6月开始公布更多0day漏洞,也许更多的“虫”会接踵而至。
安全人才的稀缺与日益增长的网络安全市场需求形成了巨大的矛盾。
一份来自网络安全服务平台的调研显示,中国内地企业网络安全管理与文化均落后于印度。内地企业44%的网络安全事件与数据泄露、员工操作不当、安全意识薄弱等有关,远高于全球16%的平均水平。根据《中国信息安全》杂志统计,截至2020年,中国网络安全产业人才缺口达140万人,而目前每年高校培养的信息安全人才仅在5万名左右。上海一所高校的信息安全与管理专业开设10年,毕业生仅481人。
“目前中国的网络安全人才缺口很大”,白健告诉《IT时报》记者,补天平台注册白帽子3万,实际上能够有效提交漏洞的白帽子也就1万左右,而目前全社会的网络安全人才缺口超过50万。很多漏洞平台上的白帽子都是重叠的,如果不通过互联网,把现有的网络安全人才复用起来,根本无法满足保护网络安全的需要。
不过白健透露,补天平台的白帽子增长很快,每年大约增长30%以上,并且目前的年龄分布高峰是在1995年前后,很多都是刚毕业的大学生,“说明网络安全后备力量正在逐步成长。”
上海市信息安全行业协会宣传主管张林才则认为技术竞赛是一个有效发现人才的方式,“可能有些人学历不高,但是一心钻研技术,水平很高,可以通过竞赛发现这部分人才。”不过张林才觉得在安全人才的培养中,需要注意德才兼备,“虽然现在光明地带的奖金提高了,但是黑市的漏洞价格动辄10万美元,诱惑还是很大,安全人员的职业道德很重要。”