给“漏洞”标价 让黑客转型成白帽子
日前,由一群网络安全高手创办的漏洞银行获软银中国资本500万美元投资,完成了A轮融资。他们创立了一种新的商业模式:邀企业在漏洞银行平台上发布网络安全漏洞的定价,黑客找到漏洞即可提交;平台和相关企业共同评判漏洞是否存在,属于什么风险级别,确认后黑客即可获得报酬,并成为白帽子(防御网络攻击的人)。上海谋乐网络科技有限公司创始人罗清篮认为,这一商业模式将使黑客获得合法收益,引导他们退出黑色产业链。
罗清篮是一名85后创业者,中学时曾是一名黑客,因出色的网络安全技术特长被保送进东华大学信息安全专业。他也转型为白帽子,带领同学们研发出能监测网页木马的引擎。本科毕业后,罗清篮和几名同学踏上了创业之路。经过近5年发展,谋乐公司已拥有许多客户,包括大众点评、1号店等知名互联网企业。他们为客户提供一整套网络安全解决方案,即在客户授权的情况下,夜深人静时模拟黑客攻击,寻找安全漏洞,找到后就告知客户。
但罗清篮团队并没有满足于这种信息安全服务模式,而是梦想重塑行业的生态环境。罗清篮觉得,目前市场上,漏洞的价值被严重低估了。不少黑客发现网站、移动端的漏洞后,向企业报告,却没有得到合理的报酬。这在客观上导致许多黑客不会选择做白帽子,而是成为黑色产业链中的一环:发现漏洞后就盗取用户数据,将它们卖给这家企业的竞争对手。
罗清篮想到,用市场化手段“收编”黑客,让他们帮助企业修复漏洞。今年初,创业团队建立了漏洞银行平台,口号是“公正衡量每个漏洞的价值”,把安全服务的内容和定价标准化。目前,已有数百家企业和上千名白帽子入驻平台。企业可匿名发布各级别漏洞的定价,高危漏洞均价为5000至6000元。白帽子提交漏洞后,一经确认和等级评估,即可获得相应报酬。在平台的白帽子风云榜上,记者看到,排名第一的白帽子已发现38个漏洞,获奖金16.35万元。这么多钱?面对记者的疑问,罗清篮笑着说:“这是白帽子应得的,只有让黑客获得较高的正当收益,才能更有效地阻止他们利用漏洞进行攻击,并通过黑色产业链获取不法收益。”
运营半年多来,漏洞银行已帮助不少企业解决了棘手问题。今年4月,一家互联网金融公司找到他们,说自己运营的P2P平台上,大量用户存款数据被篡改。企业“报案”当天,漏洞银行就邀请几十名白帽高手进行渗透性测试,很快还原了黑客攻击的方式。企业修复漏洞,避免了倒闭的厄运。“随着互联网金融行业的兴起,这类网络平台的信息安全问题值得政府重视。许多企业在提供类似银行的金融业务,却没有相应级别的安全保障,存在很大隐患。”罗清篮建议,我国有关部门可借鉴国际上普遍采用的“PCI/DSS第三方支付行业安全标准”,尽快为互联网金融行业设立信息安全标准,并利用行业标准对企业做资质评估,制定行业指南,使互联网金融更健康地发展。(记者 俞陶然)