構(gòu)建全局意識，驅(qū)動模式創(chuàng)新眾安天下護航網(wǎng)絡(luò)安全

來源：貴陽市大數(shù)據(jù)發(fā)展管理局 時間：2021-12-03 11:28:10 作者：陸丹

網(wǎng)絡(luò)安全有多重要？2021年，我國從立法層面完善網(wǎng)絡(luò)安全體系，并發(fā)布幾十項網(wǎng)絡(luò)安全相關(guān)政策作為補充，將數(shù)字經(jīng)濟時代背景下的網(wǎng)絡(luò)安全作為數(shù)字經(jīng)濟高質(zhì)量發(fā)展的重中之重。

隨著科技不斷發(fā)展，新型網(wǎng)絡(luò)安全威脅猶如“潘多拉”盒子，讓網(wǎng)絡(luò)空間威脅不斷演變。面對海量、多變的安全威脅問題，政企相關(guān)單位如何對自身的安全問題進行“診斷”，成為復(fù)雜而又現(xiàn)實的問題，安全眾測則是發(fā)現(xiàn)“網(wǎng)絡(luò)漏洞疾病”最佳的手段。

“安全眾測確實是網(wǎng)絡(luò)安全城墻的保障技術(shù)手段之一，但如今面對安全問題與安全事件時，絕大多數(shù)采取‘頭痛醫(yī)頭、腳痛醫(yī)腳’的處置方式，沒有系統(tǒng)性對問題的根源進行剖析，甚至對網(wǎng)絡(luò)安全現(xiàn)狀有效認(rèn)知?！北本┍姲蔡煜驴萍加邢薰荆ㄒ韵潞喎Q“眾安天下”）CEO楊蔚雖剛到而立之年，卻早已是“安全圈”里的知名白帽專家，其表示，安全眾測要形成“未知攻焉知防”的行業(yè)共識，通過實戰(zhàn)對業(yè)務(wù)場景進行安全斷診，以攻促防，建設(shè)安全保障體系，才能更好地為業(yè)務(wù)提供保障，防范于未然。

從無標(biāo)到有規(guī)定，眾測行業(yè)開始邁向有序發(fā)展之路

2014年可以稱之為我國的網(wǎng)絡(luò)安全元年，這一年，OpenSSL“心臟出血”漏洞、BadUSB漏洞、破殼漏洞等漏洞事件集中爆發(fā)，嚴(yán)重威脅到國家安全。世界各國加速網(wǎng)絡(luò)安全戰(zhàn)略落地部署，我國也將網(wǎng)絡(luò)及信息安全上升至國家戰(zhàn)略，成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（2018年3月改為中國共產(chǎn)黨中央網(wǎng)絡(luò)安全和信息化委員會），設(shè)立國家網(wǎng)絡(luò)安全宣傳周。政策暖風(fēng)頻頻吹向網(wǎng)絡(luò)及信息安全行業(yè)，以安全眾測模式為代表的網(wǎng)絡(luò)安全創(chuàng)新服務(wù)模式，也掀起了一股風(fēng)潮。

互聯(lián)網(wǎng)安全眾測與傳統(tǒng)的系統(tǒng)測試不同，安全眾測是以互聯(lián)網(wǎng)眾包競爭模式的漏洞測試為服務(wù)模式，在得到企業(yè)機構(gòu)授權(quán)情況下，在約定的特定時間對指定的測試范圍和產(chǎn)品進行安全測試。測試由眾測平臺組織跨地域、跨業(yè)務(wù)領(lǐng)域、跨技術(shù)領(lǐng)域的眾多白帽子黑客們，以競測形式，合力幫助企業(yè)以及機構(gòu)多方面、多維度、多視角排除安全漏洞隱患，提升安全防護能力。

而白帽子黑客與“黑客”相對，白帽子黑客廣義上指通過安全研究分析發(fā)現(xiàn)互聯(lián)網(wǎng)產(chǎn)品、網(wǎng)絡(luò)環(huán)境的安全缺陷或安全弱點，向涉及企業(yè)或者機構(gòu)告知相關(guān)安全漏洞風(fēng)險，并為涉及企業(yè)或漏洞發(fā)布者機構(gòu)提出改進建議的網(wǎng)絡(luò)安全專家，部分為高校培養(yǎng)的網(wǎng)絡(luò)安全人才，又稱“信息安全保衛(wèi)者”，是互聯(lián)網(wǎng)世界中不可或缺的中堅力量。

當(dāng)時，國內(nèi)出現(xiàn)過WooYun眾測、漏洞盒子、補天白帽眾測三大安全眾測平臺，而這也是安全眾測最初的形態(tài)——社區(qū)模式。社區(qū)里聚集了各領(lǐng)域優(yōu)秀的白帽子黑客，他們尋找漏洞、填補漏洞，試圖為個人、公司構(gòu)筑網(wǎng)絡(luò)安全防護墻。

當(dāng)時年僅24歲的楊蔚，作為國內(nèi)最大的安全眾測平臺負(fù)責(zé)人之一，在經(jīng)歷風(fēng)云變幻的那些網(wǎng)絡(luò)安全事件后，認(rèn)識到網(wǎng)絡(luò)安全對個人乃至國家的重要性，更加堅定一個信念：集中現(xiàn)有的技術(shù)力量開展持續(xù)的安全創(chuàng)新，一同守護國家網(wǎng)絡(luò)安全。

2016年4月，楊蔚走向另外一個起點，帶領(lǐng)團隊創(chuàng)立眾安天下，希望聚集天下英才共創(chuàng)美好。

四年來，眾安天下在安全攻防領(lǐng)域持續(xù)深耕，并快速成長為一顆亮眼的“新星”。先后榮獲種子輪投資、天使輪融資、貴陽創(chuàng)投千萬級戰(zhàn)略投資，成為國家信息安全漏洞庫技術(shù)支撐單位；多次參與國家重大活動的保障支撐工作；為了考核自身技術(shù)，2018年首次參與貴陽大數(shù)據(jù)及安全攻防演練大賽，與騰訊安全團隊并列第一，斬獲最佳技術(shù)創(chuàng)新一等獎、安全成果一等獎；2019年再次參與貴陽大數(shù)據(jù)及網(wǎng)絡(luò)安全精英對抗賽實戰(zhàn)，榮獲第二名，排名僅次于阿里云安全；深度參與國家安全眾測及通信行業(yè)眾測標(biāo)準(zhǔn)的起草，成為國家網(wǎng)絡(luò)安全眾測領(lǐng)域的試點應(yīng)用之一。

眾安天下榮獲2018貴陽大數(shù)據(jù)及網(wǎng)絡(luò)安全攻防演練“安全成果一等獎”與“技術(shù)創(chuàng)新一等獎”。

眾安天下榮獲2019貴陽大數(shù)據(jù)及網(wǎng)絡(luò)安全精英對抗演練團隊精英二等獎。

2020年，我國首批網(wǎng)絡(luò)安全眾測標(biāo)準(zhǔn)——《網(wǎng)絡(luò)安全眾測平臺技術(shù)要求》、《網(wǎng)絡(luò)安全眾測服務(wù)管理要求》正式運行。這是由國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）、阿里云、眾安天下等單位及企業(yè)共同參與編寫的標(biāo)準(zhǔn)，意味著安全眾測獲得了國家有關(guān)部門及行業(yè)認(rèn)可，向健康發(fā)展之路快速前進。

楊蔚參加網(wǎng)絡(luò)安全眾測標(biāo)準(zhǔn)制定的相關(guān)會議。

眾測僅為創(chuàng)新手段，讓技術(shù)向服務(wù)轉(zhuǎn)化才是硬道理

網(wǎng)絡(luò)安全是數(shù)字經(jīng)濟時代的基礎(chǔ)設(shè)施，要構(gòu)建國家網(wǎng)絡(luò)安全“城墻”，就要補齊網(wǎng)絡(luò)安全短板，但并非所有企業(yè)及機構(gòu)都能夠組建安全團隊，筑起安全網(wǎng)絡(luò)，從自身補齊短板，而安全眾測是解決這一問題的有效手段之一。安全眾測能全面、高效地為企業(yè)開展“安全問診”，甚至是“遠(yuǎn)程安全問診”，除了“治未病”，還能“治已病”，解決中小企業(yè)“看病難”和“看病貴”兩大問題。

“針對于企業(yè)‘看病難’和‘看病貴’的問題，需要一套新的能力體系，解決頂尖級實戰(zhàn)人才與企業(yè)安全需求失衡的問題；一套可信機制，把國內(nèi)不同地域、不同技術(shù)領(lǐng)域的優(yōu)秀安全專家聚合，形成強大的行業(yè)技術(shù)人才生態(tài)。”楊蔚介紹，為達(dá)到這一結(jié)果，眾安天下創(chuàng)新運營模式，將自身的專業(yè)技術(shù)團隊打造成為會服務(wù)的技術(shù)人，形成技術(shù)與服務(wù)“雙人才”模式，以此筑牢眾安天下安全技術(shù)與運營服務(wù)基礎(chǔ)；通過基于互聯(lián)網(wǎng)化的SaaS安全服務(wù)平臺，開展一站式安全顧問服務(wù)，針對企業(yè)、機構(gòu)的安全問題，組建專家安全運營團隊7x24小時響應(yīng)溝通，開展“協(xié)同問診”，解決兩大難題。

此外，眾安天下依托私有化運營方式，結(jié)合多項創(chuàng)新機制，構(gòu)建數(shù)十項風(fēng)控體系，解決企業(yè)漏洞治理的難題；面對重要領(lǐng)域自主研發(fā)了大數(shù)據(jù)過程風(fēng)險審計系統(tǒng)；通過建立行為監(jiān)測體系和身份信任機制，結(jié)合有關(guān)部門的風(fēng)控驗證、技能驗證、擔(dān)保約束，持續(xù)完善白帽子安全管控體系；通過多年的持續(xù)運營經(jīng)驗，建立安全人才能力模型。

在楊蔚看來，作為網(wǎng)絡(luò)安全服務(wù)商，除了強化技術(shù)能力，還要強調(diào)服務(wù)能力，只有充分了解用戶的業(yè)務(wù)視角，以顧問的身份幫助用戶去解決安全問題，才能將硬核技術(shù)轉(zhuǎn)變?yōu)槿嵝缘姆?wù)，使安全服務(wù)產(chǎn)品化形成趨勢?！皩⒎?wù)產(chǎn)品化這一理念，在這兩年已得到充分驗證，服務(wù)化是當(dāng)前安全眾測的大趨勢?！彼f。

楊蔚參加2021中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會“投資人大會”并作分享。

眾安天下成立之初就定下了“基于用戶業(yè)務(wù)視角的顧問式安全服務(wù)”的理念，這是基于楊蔚在長期技術(shù)服務(wù)中的實踐理論。他發(fā)現(xiàn)很多安全問題，用就漏洞補漏洞的方式無法解決根本問題。“因為漏洞這一表象的背后很可能是人、網(wǎng)絡(luò)，或者其他更深層次的問題導(dǎo)致。所以網(wǎng)絡(luò)安全服務(wù)方通過眾測進行‘望聞問切’后，還需要開展系統(tǒng)性的服務(wù)，就漏洞開展開方、治療工作，甚至是安全意識宣傳、安全人員培訓(xùn)等，通過全面的系統(tǒng)化服務(wù)，對網(wǎng)絡(luò)安全風(fēng)險進行控制?！?/p>

守護陽光，鞏固網(wǎng)絡(luò)安全后備力量

在國外，Hackerone、Bugcrowd等主流的安全眾測平臺已經(jīng)非常成熟，全球頂級的互聯(lián)網(wǎng)公司Google、推特、通用汽車、高通，甚至國家安全部門、政府機構(gòu)等，都會選擇用安全眾測的方式開展安全防御體系驗證，如美國安全部門采用安全眾測模式已發(fā)現(xiàn)超過3000+的安全漏洞。Hackerone累計發(fā)現(xiàn)十七萬多安全漏洞，每年發(fā)放的安全獎金已經(jīng)超過上億美金，成為百億級獨角獸企業(yè)。

在國內(nèi)，隨著數(shù)字經(jīng)濟發(fā)展對網(wǎng)絡(luò)安全需求的不斷攀升，安全眾測獲得更多關(guān)注，近幾年眾測企業(yè)數(shù)量在不斷增加，并逐步形成規(guī)模。

網(wǎng)絡(luò)安全行業(yè)的發(fā)展嚴(yán)重依賴網(wǎng)絡(luò)安全人才，特別是各領(lǐng)域的領(lǐng)軍人才。國內(nèi)的網(wǎng)絡(luò)安全人才分布不均，過于集中在北上廣深，且人才培養(yǎng)機制尚不完善，大部分學(xué)員存在實操經(jīng)驗不夠或?qū)崙?zhàn)技能未能充分釋放的情況，面臨就業(yè)困難，從而導(dǎo)致發(fā)展與人才的步調(diào)不協(xié)調(diào)問題。

為此，眾安天下利用自身平臺的優(yōu)勢，建立云端實網(wǎng)演練模式，打造云端實戰(zhàn)團隊，涵蓋多樣化的行業(yè)場景，幫助平臺簽約白帽專家以及年輕的安全技術(shù)人員，提高實戰(zhàn)能力；通過能力積分體系，增加技術(shù)人員的實戰(zhàn)興趣，打造實戰(zhàn)可持續(xù)的模式。

通過這樣的機制，眾安天下以實戰(zhàn)攻防替練的方式幫助近兩千名初學(xué)者提高實戰(zhàn)能力，這些初學(xué)者也利用平臺發(fā)現(xiàn)了數(shù)萬個安全漏洞，涵蓋了幾十個行業(yè)、幾百個重點單位和系統(tǒng)，間接保護了數(shù)億用戶的數(shù)據(jù)與資金安全。

眾安天下公司環(huán)境。

然而，以上并非楊蔚最終的目標(biāo)，“如果要推動行業(yè)發(fā)展，還需要建立特殊攻防人才庫，做好人才管理與過程管控，建立獎懲標(biāo)準(zhǔn)，形成規(guī)范，鼓勵更多的人走進安全行業(yè)，為國家網(wǎng)絡(luò)安全事業(yè)盡綿薄之力?！睏钗嫡劦?。

“俠之大者，為國為民?！边@是楊蔚在這次訪問中寫下的一句話。眾安天下或許是楊蔚“俠客夢”的一個起點，他與“戰(zhàn)友們”合力將眾安天下從默默無聞的企業(yè)，推至為行業(yè)賦能的標(biāo)桿尚不容易，但這還不是企業(yè)的終點?！氨姲蔡煜逻€懷揣著一個很大的夢，想讓攻防演練網(wǎng)絡(luò)化、常態(tài)化，提高團隊的技能，也提高企業(yè)機構(gòu)的防御能力，做好國家網(wǎng)絡(luò)安全的后備力量。”楊蔚介紹，這是眾安天下的新計劃。

“你之所以看不到黑暗，是因為有人竭盡全力把黑暗檔在你看不到的地方?！弊鳛榘踩I(lǐng)域的一員，楊蔚表示，眾安天下仍將不斷關(guān)注最新的攻防對抗技術(shù)，了解前沿的技術(shù)，提前對未知威脅開展研究，充分運營好安全專家，保障國家、企業(yè)、社會群眾利益，做擋住黑暗留下光明的“守護者”。

?

責(zé)任編輯：張薇