構(gòu)建全局意識(shí)，驅(qū)動(dòng)模式創(chuàng)新眾安天下護(hù)航網(wǎng)絡(luò)安全

來(lái)源：貴陽(yáng)市大數(shù)據(jù)發(fā)展管理局 時(shí)間：2021-12-03 11:28:10 作者：陸丹

網(wǎng)絡(luò)安全有多重要？2021年，我國(guó)從立法層面完善網(wǎng)絡(luò)安全體系，并發(fā)布幾十項(xiàng)網(wǎng)絡(luò)安全相關(guān)政策作為補(bǔ)充，將數(shù)字經(jīng)濟(jì)時(shí)代背景下的網(wǎng)絡(luò)安全作為數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的重中之重。

隨著科技不斷發(fā)展，新型網(wǎng)絡(luò)安全威脅猶如“潘多拉”盒子，讓網(wǎng)絡(luò)空間威脅不斷演變。面對(duì)海量、多變的安全威脅問(wèn)題，政企相關(guān)單位如何對(duì)自身的安全問(wèn)題進(jìn)行“診斷”，成為復(fù)雜而又現(xiàn)實(shí)的問(wèn)題，安全眾測(cè)則是發(fā)現(xiàn)“網(wǎng)絡(luò)漏洞疾病”最佳的手段。

“安全眾測(cè)確實(shí)是網(wǎng)絡(luò)安全城墻的保障技術(shù)手段之一，但如今面對(duì)安全問(wèn)題與安全事件時(shí)，絕大多數(shù)采取‘頭痛醫(yī)頭、腳痛醫(yī)腳’的處置方式，沒(méi)有系統(tǒng)性對(duì)問(wèn)題的根源進(jìn)行剖析，甚至對(duì)網(wǎng)絡(luò)安全現(xiàn)狀有效認(rèn)知?！北本┍姲蔡煜驴萍加邢薰荆ㄒ韵潞?jiǎn)稱(chēng)“眾安天下”）CEO楊蔚雖剛到而立之年，卻早已是“安全圈”里的知名白帽專(zhuān)家，其表示，安全眾測(cè)要形成“未知攻焉知防”的行業(yè)共識(shí)，通過(guò)實(shí)戰(zhàn)對(duì)業(yè)務(wù)場(chǎng)景進(jìn)行安全斷診，以攻促防，建設(shè)安全保障體系，才能更好地為業(yè)務(wù)提供保障，防范于未然。

從無(wú)標(biāo)到有規(guī)定，眾測(cè)行業(yè)開(kāi)始邁向有序發(fā)展之路

2014年可以稱(chēng)之為我國(guó)的網(wǎng)絡(luò)安全元年，這一年，OpenSSL“心臟出血”漏洞、BadUSB漏洞、破殼漏洞等漏洞事件集中爆發(fā)，嚴(yán)重威脅到國(guó)家安全。世界各國(guó)加速網(wǎng)絡(luò)安全戰(zhàn)略落地部署，我國(guó)也將網(wǎng)絡(luò)及信息安全上升至國(guó)家戰(zhàn)略，成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（2018年3月改為中國(guó)共產(chǎn)黨中央網(wǎng)絡(luò)安全和信息化委員會(huì)），設(shè)立國(guó)家網(wǎng)絡(luò)安全宣傳周。政策暖風(fēng)頻頻吹向網(wǎng)絡(luò)及信息安全行業(yè)，以安全眾測(cè)模式為代表的網(wǎng)絡(luò)安全創(chuàng)新服務(wù)模式，也掀起了一股風(fēng)潮。

互聯(lián)網(wǎng)安全眾測(cè)與傳統(tǒng)的系統(tǒng)測(cè)試不同，安全眾測(cè)是以互聯(lián)網(wǎng)眾包競(jìng)爭(zhēng)模式的漏洞測(cè)試為服務(wù)模式，在得到企業(yè)機(jī)構(gòu)授權(quán)情況下，在約定的特定時(shí)間對(duì)指定的測(cè)試范圍和產(chǎn)品進(jìn)行安全測(cè)試。測(cè)試由眾測(cè)平臺(tái)組織跨地域、跨業(yè)務(wù)領(lǐng)域、跨技術(shù)領(lǐng)域的眾多白帽子黑客們，以競(jìng)測(cè)形式，合力幫助企業(yè)以及機(jī)構(gòu)多方面、多維度、多視角排除安全漏洞隱患，提升安全防護(hù)能力。

而白帽子黑客與“黑客”相對(duì)，白帽子黑客廣義上指通過(guò)安全研究分析發(fā)現(xiàn)互聯(lián)網(wǎng)產(chǎn)品、網(wǎng)絡(luò)環(huán)境的安全缺陷或安全弱點(diǎn)，向涉及企業(yè)或者機(jī)構(gòu)告知相關(guān)安全漏洞風(fēng)險(xiǎn)，并為涉及企業(yè)或漏洞發(fā)布者機(jī)構(gòu)提出改進(jìn)建議的網(wǎng)絡(luò)安全專(zhuān)家，部分為高校培養(yǎng)的網(wǎng)絡(luò)安全人才，又稱(chēng)“信息安全保衛(wèi)者”，是互聯(lián)網(wǎng)世界中不可或缺的中堅(jiān)力量。

當(dāng)時(shí)，國(guó)內(nèi)出現(xiàn)過(guò)WooYun眾測(cè)、漏洞盒子、補(bǔ)天白帽眾測(cè)三大安全眾測(cè)平臺(tái)，而這也是安全眾測(cè)最初的形態(tài)——社區(qū)模式。社區(qū)里聚集了各領(lǐng)域優(yōu)秀的白帽子黑客，他們尋找漏洞、填補(bǔ)漏洞，試圖為個(gè)人、公司構(gòu)筑網(wǎng)絡(luò)安全防護(hù)墻。

當(dāng)時(shí)年僅24歲的楊蔚，作為國(guó)內(nèi)最大的安全眾測(cè)平臺(tái)負(fù)責(zé)人之一，在經(jīng)歷風(fēng)云變幻的那些網(wǎng)絡(luò)安全事件后，認(rèn)識(shí)到網(wǎng)絡(luò)安全對(duì)個(gè)人乃至國(guó)家的重要性，更加堅(jiān)定一個(gè)信念：集中現(xiàn)有的技術(shù)力量開(kāi)展持續(xù)的安全創(chuàng)新，一同守護(hù)國(guó)家網(wǎng)絡(luò)安全。

2016年4月，楊蔚走向另外一個(gè)起點(diǎn)，帶領(lǐng)團(tuán)隊(duì)創(chuàng)立眾安天下，希望聚集天下英才共創(chuàng)美好。

四年來(lái)，眾安天下在安全攻防領(lǐng)域持續(xù)深耕，并快速成長(zhǎng)為一顆亮眼的“新星”。先后榮獲種子輪投資、天使輪融資、貴陽(yáng)創(chuàng)投千萬(wàn)級(jí)戰(zhàn)略投資，成為國(guó)家信息安全漏洞庫(kù)技術(shù)支撐單位；多次參與國(guó)家重大活動(dòng)的保障支撐工作；為了考核自身技術(shù)，2018年首次參與貴陽(yáng)大數(shù)據(jù)及安全攻防演練大賽，與騰訊安全團(tuán)隊(duì)并列第一，斬獲最佳技術(shù)創(chuàng)新一等獎(jiǎng)、安全成果一等獎(jiǎng)；2019年再次參與貴陽(yáng)大數(shù)據(jù)及網(wǎng)絡(luò)安全精英對(duì)抗賽實(shí)戰(zhàn)，榮獲第二名，排名僅次于阿里云安全；深度參與國(guó)家安全眾測(cè)及通信行業(yè)眾測(cè)標(biāo)準(zhǔn)的起草，成為國(guó)家網(wǎng)絡(luò)安全眾測(cè)領(lǐng)域的試點(diǎn)應(yīng)用之一。

眾安天下榮獲2018貴陽(yáng)大數(shù)據(jù)及網(wǎng)絡(luò)安全攻防演練“安全成果一等獎(jiǎng)”與“技術(shù)創(chuàng)新一等獎(jiǎng)”。

眾安天下榮獲2019貴陽(yáng)大數(shù)據(jù)及網(wǎng)絡(luò)安全精英對(duì)抗演練團(tuán)隊(duì)精英二等獎(jiǎng)。

2020年，我國(guó)首批網(wǎng)絡(luò)安全眾測(cè)標(biāo)準(zhǔn)——《網(wǎng)絡(luò)安全眾測(cè)平臺(tái)技術(shù)要求》、《網(wǎng)絡(luò)安全眾測(cè)服務(wù)管理要求》正式運(yùn)行。這是由國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）、阿里云、眾安天下等單位及企業(yè)共同參與編寫(xiě)的標(biāo)準(zhǔn)，意味著安全眾測(cè)獲得了國(guó)家有關(guān)部門(mén)及行業(yè)認(rèn)可，向健康發(fā)展之路快速前進(jìn)。

楊蔚參加網(wǎng)絡(luò)安全眾測(cè)標(biāo)準(zhǔn)制定的相關(guān)會(huì)議。

眾測(cè)僅為創(chuàng)新手段，讓技術(shù)向服務(wù)轉(zhuǎn)化才是硬道理

網(wǎng)絡(luò)安全是數(shù)字經(jīng)濟(jì)時(shí)代的基礎(chǔ)設(shè)施，要構(gòu)建國(guó)家網(wǎng)絡(luò)安全“城墻”，就要補(bǔ)齊網(wǎng)絡(luò)安全短板，但并非所有企業(yè)及機(jī)構(gòu)都能夠組建安全團(tuán)隊(duì)，筑起安全網(wǎng)絡(luò)，從自身補(bǔ)齊短板，而安全眾測(cè)是解決這一問(wèn)題的有效手段之一。安全眾測(cè)能全面、高效地為企業(yè)開(kāi)展“安全問(wèn)診”，甚至是“遠(yuǎn)程安全問(wèn)診”，除了“治未病”，還能“治已病”，解決中小企業(yè)“看病難”和“看病貴”兩大問(wèn)題。

“針對(duì)于企業(yè)‘看病難’和‘看病貴’的問(wèn)題，需要一套新的能力體系，解決頂尖級(jí)實(shí)戰(zhàn)人才與企業(yè)安全需求失衡的問(wèn)題；一套可信機(jī)制，把國(guó)內(nèi)不同地域、不同技術(shù)領(lǐng)域的優(yōu)秀安全專(zhuān)家聚合，形成強(qiáng)大的行業(yè)技術(shù)人才生態(tài)?！睏钗到榻B，為達(dá)到這一結(jié)果，眾安天下創(chuàng)新運(yùn)營(yíng)模式，將自身的專(zhuān)業(yè)技術(shù)團(tuán)隊(duì)打造成為會(huì)服務(wù)的技術(shù)人，形成技術(shù)與服務(wù)“雙人才”模式，以此筑牢眾安天下安全技術(shù)與運(yùn)營(yíng)服務(wù)基礎(chǔ)；通過(guò)基于互聯(lián)網(wǎng)化的SaaS安全服務(wù)平臺(tái)，開(kāi)展一站式安全顧問(wèn)服務(wù)，針對(duì)企業(yè)、機(jī)構(gòu)的安全問(wèn)題，組建專(zhuān)家安全運(yùn)營(yíng)團(tuán)隊(duì)7x24小時(shí)響應(yīng)溝通，開(kāi)展“協(xié)同問(wèn)診”，解決兩大難題。

此外，眾安天下依托私有化運(yùn)營(yíng)方式，結(jié)合多項(xiàng)創(chuàng)新機(jī)制，構(gòu)建數(shù)十項(xiàng)風(fēng)控體系，解決企業(yè)漏洞治理的難題；面對(duì)重要領(lǐng)域自主研發(fā)了大數(shù)據(jù)過(guò)程風(fēng)險(xiǎn)審計(jì)系統(tǒng)；通過(guò)建立行為監(jiān)測(cè)體系和身份信任機(jī)制，結(jié)合有關(guān)部門(mén)的風(fēng)控驗(yàn)證、技能驗(yàn)證、擔(dān)保約束，持續(xù)完善白帽子安全管控體系；通過(guò)多年的持續(xù)運(yùn)營(yíng)經(jīng)驗(yàn)，建立安全人才能力模型。

在楊蔚看來(lái)，作為網(wǎng)絡(luò)安全服務(wù)商，除了強(qiáng)化技術(shù)能力，還要強(qiáng)調(diào)服務(wù)能力，只有充分了解用戶(hù)的業(yè)務(wù)視角，以顧問(wèn)的身份幫助用戶(hù)去解決安全問(wèn)題，才能將硬核技術(shù)轉(zhuǎn)變?yōu)槿嵝缘姆?wù)，使安全服務(wù)產(chǎn)品化形成趨勢(shì)?！皩⒎?wù)產(chǎn)品化這一理念，在這兩年已得到充分驗(yàn)證，服務(wù)化是當(dāng)前安全眾測(cè)的大趨勢(shì)?！彼f(shuō)。

楊蔚參加2021中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)“投資人大會(huì)”并作分享。

眾安天下成立之初就定下了“基于用戶(hù)業(yè)務(wù)視角的顧問(wèn)式安全服務(wù)”的理念，這是基于楊蔚在長(zhǎng)期技術(shù)服務(wù)中的實(shí)踐理論。他發(fā)現(xiàn)很多安全問(wèn)題，用就漏洞補(bǔ)漏洞的方式無(wú)法解決根本問(wèn)題。“因?yàn)槁┒催@一表象的背后很可能是人、網(wǎng)絡(luò)，或者其他更深層次的問(wèn)題導(dǎo)致。所以網(wǎng)絡(luò)安全服務(wù)方通過(guò)眾測(cè)進(jìn)行‘望聞問(wèn)切’后，還需要開(kāi)展系統(tǒng)性的服務(wù)，就漏洞開(kāi)展開(kāi)方、治療工作，甚至是安全意識(shí)宣傳、安全人員培訓(xùn)等，通過(guò)全面的系統(tǒng)化服務(wù)，對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行控制。”

守護(hù)陽(yáng)光，鞏固網(wǎng)絡(luò)安全后備力量

在國(guó)外，Hackerone、Bugcrowd等主流的安全眾測(cè)平臺(tái)已經(jīng)非常成熟，全球頂級(jí)的互聯(lián)網(wǎng)公司Google、推特、通用汽車(chē)、高通，甚至國(guó)家安全部門(mén)、政府機(jī)構(gòu)等，都會(huì)選擇用安全眾測(cè)的方式開(kāi)展安全防御體系驗(yàn)證，如美國(guó)安全部門(mén)采用安全眾測(cè)模式已發(fā)現(xiàn)超過(guò)3000+的安全漏洞。Hackerone累計(jì)發(fā)現(xiàn)十七萬(wàn)多安全漏洞，每年發(fā)放的安全獎(jiǎng)金已經(jīng)超過(guò)上億美金，成為百億級(jí)獨(dú)角獸企業(yè)。

在國(guó)內(nèi)，隨著數(shù)字經(jīng)濟(jì)發(fā)展對(duì)網(wǎng)絡(luò)安全需求的不斷攀升，安全眾測(cè)獲得更多關(guān)注，近幾年眾測(cè)企業(yè)數(shù)量在不斷增加，并逐步形成規(guī)模。

網(wǎng)絡(luò)安全行業(yè)的發(fā)展嚴(yán)重依賴(lài)網(wǎng)絡(luò)安全人才，特別是各領(lǐng)域的領(lǐng)軍人才。國(guó)內(nèi)的網(wǎng)絡(luò)安全人才分布不均，過(guò)于集中在北上廣深，且人才培養(yǎng)機(jī)制尚不完善，大部分學(xué)員存在實(shí)操經(jīng)驗(yàn)不夠或?qū)崙?zhàn)技能未能充分釋放的情況，面臨就業(yè)困難，從而導(dǎo)致發(fā)展與人才的步調(diào)不協(xié)調(diào)問(wèn)題。

為此，眾安天下利用自身平臺(tái)的優(yōu)勢(shì)，建立云端實(shí)網(wǎng)演練模式，打造云端實(shí)戰(zhàn)團(tuán)隊(duì)，涵蓋多樣化的行業(yè)場(chǎng)景，幫助平臺(tái)簽約白帽專(zhuān)家以及年輕的安全技術(shù)人員，提高實(shí)戰(zhàn)能力；通過(guò)能力積分體系，增加技術(shù)人員的實(shí)戰(zhàn)興趣，打造實(shí)戰(zhàn)可持續(xù)的模式。

通過(guò)這樣的機(jī)制，眾安天下以實(shí)戰(zhàn)攻防替練的方式幫助近兩千名初學(xué)者提高實(shí)戰(zhàn)能力，這些初學(xué)者也利用平臺(tái)發(fā)現(xiàn)了數(shù)萬(wàn)個(gè)安全漏洞，涵蓋了幾十個(gè)行業(yè)、幾百個(gè)重點(diǎn)單位和系統(tǒng)，間接保護(hù)了數(shù)億用戶(hù)的數(shù)據(jù)與資金安全。

眾安天下公司環(huán)境。

然而，以上并非楊蔚最終的目標(biāo)，“如果要推動(dòng)行業(yè)發(fā)展，還需要建立特殊攻防人才庫(kù)，做好人才管理與過(guò)程管控，建立獎(jiǎng)懲標(biāo)準(zhǔn)，形成規(guī)范，鼓勵(lì)更多的人走進(jìn)安全行業(yè)，為國(guó)家網(wǎng)絡(luò)安全事業(yè)盡綿薄之力?！睏钗嫡劦馈?/p>

“俠之大者，為國(guó)為民?！边@是楊蔚在這次訪問(wèn)中寫(xiě)下的一句話(huà)。眾安天下或許是楊蔚“俠客夢(mèng)”的一個(gè)起點(diǎn)，他與“戰(zhàn)友們”合力將眾安天下從默默無(wú)聞的企業(yè)，推至為行業(yè)賦能的標(biāo)桿尚不容易，但這還不是企業(yè)的終點(diǎn)?！氨姲蔡煜逻€懷揣著一個(gè)很大的夢(mèng)，想讓攻防演練網(wǎng)絡(luò)化、常態(tài)化，提高團(tuán)隊(duì)的技能，也提高企業(yè)機(jī)構(gòu)的防御能力，做好國(guó)家網(wǎng)絡(luò)安全的后備力量?！睏钗到榻B，這是眾安天下的新計(jì)劃。

“你之所以看不到黑暗，是因?yàn)橛腥私弑M全力把黑暗檔在你看不到的地方?！弊鳛榘踩I(lǐng)域的一員，楊蔚表示，眾安天下仍將不斷關(guān)注最新的攻防對(duì)抗技術(shù)，了解前沿的技術(shù)，提前對(duì)未知威脅開(kāi)展研究，充分運(yùn)營(yíng)好安全專(zhuān)家，保障國(guó)家、企業(yè)、社會(huì)群眾利益，做擋住黑暗留下光明的“守護(hù)者”。

?

責(zé)任編輯：張薇