安全團隊發現漏洞而獲得廠商公開致謝是什麼意思?

為什麼國內安全團隊都對此表現積極?


正式答題之前,簡單舉個例子:

國內某知名985高校應屆生——學霸張三立志成為鵝廠一員,臨畢業,積極投入鵝廠技術崗位應試大軍。為應付筆試,張三翻出鵝廠近十年筆試題庫嚴格實行題海戰術,做罷自認為決勝千里,offer到手已是板上釘釘。此時,學習委員李四突然跑來,隨口問了兩道不等式數列和暗黑字元串問題,學霸張三十臉懵逼。李四眼瞅著張三一腔滾滾熱血涼了半截,毅然決定幫助張三查漏補缺。

一周後,張三信心滿滿走入筆試考場,完美交出答卷。後又通過技術總監等層層面試,順利接到HR通知,請於雙證到手後準時報到,完勝!事後,張三專門向李四好好感謝了一番,從此哥倆兒情比金堅!

---------------------以上故事純屬虛構,如有雷同,純屬扯淡---------------------

什麼是提出漏洞,獲得致謝?

段子說完了,我們可以簡單把上面的「張三」看作現在的科技廠商,「考試」看成產品上市後面臨的網路安全考驗,而「李四」,就是那些主動幫助廠商提出漏洞的安全技術團隊。安全團隊會主動尋找廠商的系統產品漏洞,然後提交給廠商協助修復,這就避免了漏洞被不法黑客發現利用,導致自家產品「撲街」,廠商大大得利,安全團隊為此獲得公開致謝,實屬實至名歸。

2013年以後,越來越多的國際頂尖廠商開始重視漏洞價值,甚至發放高額獎勵。說到底,這其實是個經濟學問題。人們在意識到石油的價值之前,它只是用來點燈、做飯,不比柴火賣更多錢。隨著安全價值的提升,對於漏洞來說給錢正常,公開致謝就更正常了。

在目前全球頂尖的科技廠商中,蘋果算得上對漏洞價值重視度高的,不僅對全球最著名的黑客大賽pwn2own提供連年支持,而且每一版系統更新都會對提交漏洞的安全團隊進行公開致謝。比如前不久,在最新的iOS11.1安全更新中,騰訊安全聯合實驗室玄武實驗室就因提供三大高危漏洞而再次獲得蘋果官網公開致謝,這已經是今年的第五次。這三個漏洞的潛在威脅包括:私自篡改網頁網址欺詐用戶、因無意訪問惡意Web內容而導致電腦受到病毒侵入,以及使用字典工具時可能引發的用戶信息泄漏問題。新系統版本中蘋果已經完全解決了這些漏洞。

所以用戶能夠在安全環境下使用手機、電腦等聯網設備,很大一部分功勞應歸功於主動提報漏洞的安全技術團隊。

主動發現漏洞,國內安全團隊為什麼表現積極?

目前中國團隊已經是各大巨頭漏洞致謝榜上異軍突起的骨幹力量。一方面是由於隨著國內近年的安全市場環境逐漸好轉,過往外流的安全人才開始迴流國內,人才實力有所提升;另一方面,國家和包括金融、通信等重要行業的網路安全需求愈發旺盛,推動了安全技術的快速發展。

至於國內安全團隊為什麼對主動發掘漏洞表現積極,可以從兩個層面來看:

往小的層面來說,對於安全團隊中的白帽子黑客個人,挖掘漏洞是他們的工作也是他們的愛好,成功發現一個漏洞將為他們帶來極高的成就感和滿足感。加之產品漏洞大多出自國際頂尖科技廠商,民族自豪感及技術榮譽感共同驅動他們不斷向未知漏洞發起新的挑戰。

往大的層面來說,隨著網路安全的重要性在國內數字經濟時代的地位日益上升,安全團隊通過發現產品和系統上存在的漏洞,並提交給廠商做修復,完善安全系統,這是從根源上對黑產進行直接打擊。同時,通過持續的漏洞研究和挑戰,能夠在攻防兩端進一步提升實力,幫助包括中國在內的全球第三方企業及所屬用戶,避免可能遭遇的漏洞攻擊事件發生。站在國際立場中看,也進一步提升了中國網路安全的視野和格局,充分展現了中國在網路安全領域的大國實力和風範。


本文為騰訊安全聯合實驗室知乎機構賬號原創內容,轉載請註明出處。

想要獲取更多官方資訊請關注騰訊安全聯合實驗室微信公眾號txaqlhsys

更多騰訊安全聯合實驗室官方回答:

  • 騰訊安全部門的幾個實驗室老大是誰?分別做哪方面研究呀?
  • 個人信息的泄露在今天已經嚴重到了什麼地步?對普通人的生活有多大的影響?
  • Mobile Pwn2Own是什麼比賽?有中國戰隊參賽么?
  • WPA2 被黑客破解,可以通過 Wi-Fi 竊聽任何聯網設備,這會帶來什麼影響?
  • 最近在東歐爆發的新型勒索軟體Bad Rabbit是怎麼回事?對國內用戶影響大么?
  • 國內信息安全行業真的很有前途,職位空缺很大嗎?
  • 有哪些需要提高警覺的網路詐騙案例?
  • 你經歷過怎樣的騙局?
  • 養成哪些上網習慣可以避免泄露重要的個人隱私?
  • 怎樣看待央視紀錄片《我是黑客》?
  • 有哪些小眾又高逼格的競技類比賽?


謝@騰訊安全聯合實驗室 邀請

記得最開始的時候裝逼就是用TSRC排名的(現在大家都沒空挖了23333)

回到問題為什麼國內安全團隊都對此表現積極?

當下環境使然,國內對待安全的態度比較保守,並不能像國外那樣開發。

你讓一個白帽子,公開炫耀他利用某個漏洞進行某些操作,在沒有授權的情況下,他敢嗎?

獲得廠商的公開致謝,就是在某種意義上肯定了自身的價值。證明自己的能力。

而安全團隊,作為一個交流平台,其運營者與成員,都應該以將該團隊打造成口口相傳的招牌口碑為目的,獲得廠商的公開致謝則是不可或缺的一部分。

例如提到這個團隊,吃瓜群眾盡皆嘆服。就像是江湖上打架報自家門派一樣,大門派的自然更有底氣。

這大概是創建安全團隊的初衷吧。

講勢利一點,以後出門辦事都很容易。


因為,對雙方都有利啊,廠商修復了漏洞,安全廠商也獲得了致謝,也是安全廠商一種實力的表現啊。


簡單來說,就是各取所需。

廠商對安全團隊的貢獻致謝,安全團隊通過廠商致謝增加名氣


這是個合作雙贏的事情。廠商漏洞得以修復,廠商發布公告安全商得到名聲,便於接業務,甚至一些安全商會招人去刷SRC(安全應急中心)排行榜


廠商得以修復漏洞 安全人員/團隊獲得名氣,或許還有點獎金

互利共贏

看了下邀請 竟然是騰訊安全聯合實驗室邀請的 瑟瑟發抖


廠商獲利

團隊得名

大廠的背書大部分場景下非常好使

誰有誰知道


意思很明顯啊,這雙方都能得到收益,何樂而不為?


推薦閱讀:

怎樣讓一個只有2個月上網經歷的人懂得怎樣安全上網?
白帽子是合法的嗎?
網路詐騙受害者如何有效報案?
web安全會逐漸沒落嗎?
外界對於黑客都存在哪些誤解?

TAG:網路安全 | 高危漏洞 | 白帽黑客WhiteHat | 漏洞挖掘 |