白帽子“变形记”:身价暴增 顶级人才年入千万

5月12日起,利用Windows漏洞传播的“永恒之蓝”勒索蠕虫在全球范围内大规模爆发,影响近百个国家上千家企业及公共组织,我国至少有29372个机构遭到这一源自美国国家安全局网络武器库的蠕虫病毒攻击,保守估计超过30万台终端和服务器受到感染。该事件是“冲击波”病毒发生以来,14年一遇的严重网络安全攻击事件。

“永恒之蓝”为网络安全再次敲响了警钟,也让人们再次聚焦在这一领域潜伏多年的“白帽子”。《IT时报》记者对话多位“白帽子”,他们中有从事安全领域十几年的“老司机”,也有正值青春的“小鲜肉”,他们的经历,正是近年来中国网络安全变化的轨迹,也是Hacker(黑客)成长变迁的缩影。

6月1日,《网络安全法》正式实施,这一网络空间的基本法出台将为“白帽子”画一条明确的底线。

招安篇

“前半生做贼,后半生抓贼”

Hacker(黑客)这个词本无贬义,但在中国人的认知中,硬是将黑客分为正邪两派:帮助企业找漏洞的“白帽子”和职业破坏者“黑帽子”。在黑客这条路上,学历从来不是障碍,中专肄业的曾颖涛未成年就在黑客圈小有名气

1997年出生的曾颖涛外号“毛毛”,今年刚满20岁。小学时因为打游戏开始了解外挂和病毒,初中痴迷电脑的他干脆放弃高中,报考了广东惠州一家中专学计算机,是学校有名的电脑“疯子”

曾颖涛言语极少,性格腼腆,骨子里有着一股疯劲和狂热。在学校就读时,他发现了学校网站的一个漏洞,并将漏洞报告给了老师。然而等到快毕业时,他发现漏洞仍在,“有点生气,就起了恶作剧的心理,利用当初发现的漏洞黑掉了学校的网站。”正是因为这次恶作剧,他被学校退学,成了肄业生

2015年,在家自学的“毛毛”看到一个旨在挖掘互联网安全人才的“神话行动”海选,他一路过关斩将,成功入围。2015年底,时年18岁的“毛毛”发现漏洞,破解了沃尔沃、比亚迪、别克三种品牌部分车辆的防盗系统,实现了1分钟无钥匙开锁,引起不小的轰动。后来,曾颖涛进入有名的360独角兽团队,靠着挖漏洞找到一份薪水丰厚的工作。

年前,靠挖漏洞就业的人还不多,但现在,曾颖涛所熟知的圈里的黑客们,大多进了安全企业。

前半生做贼,后半生抓贼,”360安全监测与响应中心负责人赵晋龙如此总结他的“白帽子”生涯。2003年,中国家用PC迎来爆发,很多家庭有了PC,那时赵晋龙正在读初中,成为中国较早接触黑客技术的一批人。

当时中国对网络安全的概念很模糊,“办个论坛都可能被说成是传播黑客工具”,不像现在竞赛满天飞,野心勃勃的黑客们可以有安全的地方自由炫技。

大学毕业前,赵晋龙在圈子里是做攻击,俗称“找漏洞的人”。毕业后一直从事安全厂商的网络防护工作,“攻”“守”身份互换多年,现在赵晋龙已经不大愿意提起过往的岁月,现在他的工作是负责抓入侵者。以前把漏洞找出来,再告诉对方怎么修复即可,现在考虑更多的则是怎么防护,“还有谁进来?进来干了什么?有什么目的?”

像曾颖涛、赵晋龙这样的白帽子大多进了安全企业,这也是中国大部分白帽子选择的归宿。

创业篇

“每半年报价就涨三成”

当然,也有那么一群不安分的“白帽子”选择了创业,他们没丢老本行,选择在安全领域里“自立门派”。

2015年底,姚威和几个小伙伴一起创立了广州凌晨网络科技有限公司,帮助企业解决业务、资产及应用中的安全风险,包括互联网资产归属、持续威胁检测、敏感信息检测、风险预警等。作为一名资深“白帽子”,在公司的主营业务之外,他依然从事“挖漏洞”的工作,曾连续三年带领团队发表关于中国公共Wi-Fi安全的研究报告。

2013年以后,在政策和安全事件的双重驱动下,网络安全地位越来越高,安全领域新增的初创公司也越来越多。每年都有二三十家创业公司涌进网络安全市场,呈现出爆发式的状态,目前国内安全公司已经达到三四百家。越来越多的安全事件让姚威这样的初创企业尝到了甜头,创业以来,每半年公司服务的报价和成交额都会有一定的上涨,涨幅约为20%-30%,姚威向记者透露,每次安全事件以后,会有很多生意自己找上门。

第三方研究机构Gartner报告显示,我国企业级网络安全需求巨大,目前在国家工商总局注册的企业数超过1100万家,绝大多数企业均已接入互联网,但却缺少安全可靠的IT系统。随着企业网络安全意识的觉醒,企业级网络安全市场变成千亿级,甚至万亿级别的大蓝海。

和姚威一样,林榆坚也转向了创业。高中时,林榆坚就是一个经验丰富的白帽子,大学毕业后进入百度,2012年跳出互联网公司选择创业,成立安赛科技。林榆坚对“白帽子”的称呼不太感冒,他信奉的是“勿以漏洞论英雄”,认为“防护比攻击要困难得多”。

在林榆坚看来,大多数网络安全人员90%的时间都在从事防护方向的工作,“比如面对永恒之蓝,怎么去建立防护、降低危害、恢复数据,比利用NASA泄露的漏洞攻击别人要困难得多。”

翻身篇

“顶级‘白帽子’身价八位数”

曾经,即便是“白帽子”,也带着一层暧昧和隐晦的色彩,部分白帽子经常游走在法律边界,一不小心就会“踩线”。一方面漏洞在黑市的价格很高,另一方面则是无法可依,红线也不明确。2016年11月,全国人民代表大会常务委员会颁布《网络安全法》,2017年6月1日起施行,这一网络空间的基本法出台以后,白帽子不能踩的那条线就明确了。

白帽子注册平台的时候有明确协议,不炒作也不披露漏洞,只是提醒企业修复,如果企业没在平台注册,也只会公布标题,比如某公司有某种类型的漏洞。”补天平台负责人白健被白帽子称为“白掌门”,他负责的补天平台上,白帽子主要都是企业信息安全人员,同行中安全公司技术人员以及学生信息安全爱好者,大多有着双重身份,“就像蜘蛛侠彼得·帕克一样,平时是日报社的记者,当大家遇到威胁时,就摇身变为大英雄。”

法律把“挖漏洞”这件事从灰色地带放到光明地带,白帽子的生存环境正变得越来越好,随着法律改变的还有薪水。2013年之前,安全人员的平均薪水只是与IT行业其他工种持平。2013年“斯诺登事件”之后,薪水开始水涨船高。2012年,一个最普通的安全研究员月薪是5000-8000元,“现在,网络安全人才成为香饽饽,一些顶尖人才的身价已经炒得很高了,互联网公司给出的年薪(现金+股票)达到了千万元级别。”白健感慨道。

根据能力不同,有技术的白帽子身价在几十万到几百万不等。薪水上涨的同时,“挖漏洞”得到的奖励也越来越丰厚,“现在行业内很多公司的SRC(安全应急响应中心)都非常健全,通过黑客技术挖到的漏洞都有人收。”姚威告诉记者。在补天平台上,发放的“悬赏”奖金总额达到了870万人民币。

“通过阳光手段能挣到钱,监管又很严,谁愿意做坏事呢?”曾颖涛腼腆地说道。

(0)

相关推荐