近日,据传一群神秘黑客聚集于北京某处,开展了一场以挖漏洞为主题的对抗赛,比赛持续了整整一天一夜。现场传出的小视频显示,诸多身着格子衬衫的程序员模样人员围坐在一起,手指在键盘上下翻飞,不时重重敲击回车键,发出啪的声音回响在大厅上空;大家眼睛死盯着屏幕,一行行绿色代码快速滚过,除了偶尔因色块条突出显示错误信息而略微停顿,现场透露出紧张而严肃的氛围。
经多方求证,此活动确实为挖掘漏洞比赛,所不同的是,他们不是为搞破坏、恶意攻击而来,而是组织方定向邀请的白帽子专门为企业找漏洞,从而提升企业信息安全能力。进一步了解得知,该活动名为“2018年漏洞马拉松线下邀请赛”,由漏洞盒子主办,金山云SRC(安全应急响应中心)等联合举办,来帮助金山云等企业更好地建设自身的安全服务体系。
金山云SRC负责人张娜在活动开幕环节发表致辞
顶级白帽子鏖战24小时,激情角逐冠军
近年来,面对日益猖獗的黑客攻击、层出不穷的高危漏洞,信息安全威胁警钟长鸣。漏洞马拉松线下邀请赛作为面向白帽子的挑战赛,旨在通过邀请白帽子来挖掘厂商漏洞,包括Web应用、移动APP、客户端中的安全问题,发现可能存在的业务风险,及时修复从而提升企业的安全防御水平。
此次挑战赛,按照现场发放项目、现场挖洞、现场审核的原则进行,通过选手入场前签订保密协议,宣布测试范围、审核规则、问题反馈机制,现场公布比赛结果并举行颁奖仪式。在比赛中,根据漏洞数量及质量来进行得分评定,高质量的漏洞提交(包括详情提交、PoC提交、漏洞字段提交)会获得更高的评分,进而更有机会获得大奖。
大赛分为个人和团队两种参赛形式,计入不同排行榜,两个榜单前三名除了获得项目漏洞奖金外还可另外获得高额现金奖金,经过激烈角逐,最终汉林科技斩获团队冠军,gdygdy获得个人冠军,除项目漏洞奖金外还分别获得了5000元奖金。
团队赛冠军获得者赢取5000元奖金
SRC与白帽子紧密合作,持续提升安全能力
金山云一直积极与白帽子保持紧密合作,共同打造健康安全的网络空间。除了支持如漏洞马拉松等活动,更是成立了金山云SRC,希望通过金山云SRC加强与业界个人、组织及公司之间的合作,来提升金山云整体安全水平,为客户提供更优质的服务。
当前,金山云SRC已经建立了长效的漏洞奖励机制,激励白帽子参与到漏洞的挖掘中来。依据CVSS v3(通用漏洞评分系统)漏洞等级评定标准,按照漏洞对系统机密性(C)、完整性(I)、可用性(A)方面的影响,将漏洞等级分为严重、高危、中危、低危、无影响五个等级,对于影响较大的漏洞可提供5000-10000元奖励,并会有额外奖励随定期举办的白帽子活动发放。通过白帽子的协助,来持续提升自身的安全防护能力。
“安全领域无竞争,恶意攻击的网络黑产才是我们共同的敌人,”金山云SRC负责人张娜讲到,安全能力的提升是没有边界的,漏洞问题也并非一劳永逸,只有持之以恒不断完善,才能构建稳固的安全体系。金山云将坚持做好SRC运维工作,与行业各方一起,共建互联网安全新生态。
作为中国云计算三巨头之一,金山云已经构建了完善的安全流程体系,为用户提供安全、稳定、可靠的云服务。当前,金山云已经通过ISO 9001/27001、等级保护、可信云、国际云安全联盟C-STAR等多项安全认证,也是全球唯一拥有CSA STAR Tech IaaS/PaaS双认证的云厂商。企业级客户对于安全有极为苛刻的要求,金山云丰富的企业级服务经验和在安全领域的多年深耕,可为客户提供从系统结构设计、保障机制建设和数据存储管理等全套的云安全产品解决方案,帮助客户获得更好的安全保障。