5月25日-5月26日,GEEKCON 2024 国际站在新加坡举办。新加坡著名华文媒体《联合早报》,在现场全程见证了白帽黑客赛事项目,并对GEEKCON主办方及参会嘉宾进行了采访。
以下为发表于7月14日的整版报道原文。
(插图/张进培)
白帽黑客,作为网络世界中的守护者、企业内部的“家庭医生”,要赶在黑客出击前,发现并修复网络漏洞,帮助企业和个人防止潜在网络攻击和数据泄露。白帽相关的渗透测试、红队测试等已经成为网安领域的重要部分。本期《悉看大势》探讨白帽黑客以及相关的行业现状、困境及展望。
网络犯罪威胁日益加剧,根据市场统计机构Statista数据,2023年全球网络犯罪导致的成本高达8.15万亿美元(约11万亿新元),并将在2027年达到12.43万亿美元。
全球每天大约发生2200次网络攻击,背后黑手便是黑客。其实,在网络安全领域,与黑客较量的不仅是防御者,还有另一拨攻击者,他们赶在黑客攻击这些漏洞前先攻破它并修复,被称为“白帽黑客”(White Hat)。
今年5月,全球首个开放平台的网络安全竞赛与会议GeekCon来到新加坡,参展白帽黑客上演了令人瞠目结舌的“魔法”。
全球首个开放平台的网络安全竞赛与会议GeekCon今年5月在新加坡举行,白帽黑客现场展示如何通过网络攻击控制iPhone手机。
例如,让行李箱中的刀,成功躲过X射线安检机器;通过攻击网络程序开启一辆汽车;越过ChatGPT的道德防线,让它回答本应该拒绝回答的问题。
独立安全研究机构DarkNavy创办人王琦是这项赛事的发起人。他接受《联合早报》访问时说如果不知道网络攻击如何发生,那么防御就无从谈起,这就是白帽的意义。
白帽攻击三种基本形式
自帽是一种怎样的存在?
新加坡国立大学计算机学院副教授张亦坚告诉早报,如果一个黑客对网络系统的攻击经过被攻击方许可,那么基本就是白帽。白帽群体虽然小众,却是网安中非常重要的一部分。
他介绍,在业内,白帽攻击的基本形式有三种。一种是作为普遍的渗透测试(Penetration Testing),它是一种模拟攻击,通过发现特定系统或应用的技术漏洞,评估电脑系统、网络或应用软件的安全性。
第二种是红队测试(Red Team Testing),它是一种更高级的测试,模拟持续性威胁,评估整个组织的安全防御和响应能力。
还有一种是漏洞赏金(Bug Bounty),公司或机构向公众或特定的安全研究人员公开征集产品或服务中的漏洞,发现漏洞者可获得奖励。
在网安行业,白帽相关服务的规模占比并不算大。以最普遍的渗透测试来说,根据市场研究机构Fortune Business Insights的报告,2023年全球网络安全市场规模为1723亿美元,而渗透测试市场规模为22亿美元。
亚太渗透测试市场增速最快
报告指出,云计算解决方案的普及以及数据中心的增加,正在加速渗透测试市场增长。此外,严格的政府法规也促进了渗透测试服务的采用。今年至2032年间,渗透测试市场预计将以12.6%的复合年增长率增长。
分行业来看,金融和保险业占据市场的主导地位,主要由个人、企业和政府的敏感财务数据以及交易量增加推动。此外,随着电子健康记录和远程医疗解决方案的普及,医疗保健业对渗透测试的需求预料也将激增。
各地区中,北美由于网络攻击次数的增加和研发投入增加,占2023年全球渗透市场市场规模三分之一以上,达到8亿美元。
对于渗透测试和红队测试等白帽测试,少数大型公司有专门的网安部门和人员来进行,大多数公司则通常委托给第三方。
北美强劲的市场需求催生出一大批行业头部公司,如CrowdStrike、Rapid7、新思科技(Synopsys)、Secureworks、Invicti、lBM、ASTRA IT等。此外,欧洲、印度等地,也拥有一些实力强劲的玩家。
金融交易量大 我国频受网络攻击
全球网安威胁激增,新加坡也难以幸免。网络安全局发布的2023年新加坡网络安全健康报告显示,受调查的2000多个组织中,有八成在12个月内遭遇网安事件。另有数据表明,网络攻击给新加坡造成重大财务损失,仅勒索软件一项,一次攻击平均给新加坡公司带来150万元的成本。
2018年,我国发生历来最大规模的网络攻击,约150万名新加坡保健服务集团病患的身份证号码等基本个人资料被黑客窃取。
成立于新加坡的瑞士数据安全保护公司安克诺斯(Acronis)收集了15个国家的100多万份用户端数据后发现,去年新加坡是遭受恶意软件攻击前三多的国家。该公司认为,作为亚洲的银行金融中心,巨大的交易数量让新加坡成为网络攻击和诈骗的主要对象。
杨烈国:可举办交流活动 鼓励年轻人学习如何防御
新加坡经济发展局前主席杨烈国接受《联合早报》访问时说,由于数码化技术普遍,人们比以往更容易受到攻击,在某种程度上变得更脆弱,因此网安越来越重要。
“我们需要建立网安机制,新加坡政府对此非常关注,因为它影响到公共和私人基础设施。我们别无选择,只能学习如何预防和阻止网络攻击。”
他认为,培养人才是提升网安能力的关键。新加坡可通过举办像GeekCon这样的交流活动,鼓励年轻人学习知识并建立联系,了解如何攻击和如何防御,扩充专业人才。
GeekCon秘书长吴冠英受访时也说:“不能等生了大病才去看医生。与一些国家相比,新加坡的白帽人才可能还没那么多。我们希望培养行业人才,让新加坡不仅是金融中心、贸易中心,也能成为一个‘安全中心’”。
白帽市场占比小 价值未完全凸显
白帽的重要性毋庸置疑,但在整个网安行业中占比很小,导致很多时候不被重视。王琦说:“由于白帽的价值并没有被完全凸显,随着经济下行,企业在削减预算时,可能最先砍掉这些‘家庭医生’”。
白帽的价值没有凸显的原因,在他看来,是安全缺乏“可见性”。
“安全性是不能用零和一来定义的,中间有许多分别。例如,我们攻破A系统要用一年,而攻破B系统只需两天,它们的安全性肯定不同。但消费者看到的结果是,它们都可以被攻破,那就没区别。因此,对企业来说,在安全上的投入并不能带来同等的经济利益。”
业者:渗透测试客户 逾六成迫于监管要求
不过,尽管企业不见得愿意自发在网安上投入网安业界指出,企业对一般的白帽测试的需求正在增加,而背后主要的推动力,是监管。在新加坡尤其如此。
本地网安公司Rajah & Tann Cybersecurity总裁黄安志接受《联合早报》访问时说,购买公司渗透测试服务的客户中,有六成以上是迫于监管的直接要求。
“例如,新加坡金融管理局要求所有的金融机构必须每年进行安全检测,卫生部也要求私营医疗机构必须满足基本的信息安全检测。网络安全法令也对11类关键信息基础设施提出监管要求,如能源、水供、医疗、银行、媒体等关键领域的基础设施。”
黄安志说,这些监管要求中,白帽领域的渗透测试是必须的一项。
不光是这些直接受监管的领域,近年来,零售食品等私营行业也越来越多地寻求渗透测试服务。黄安志认为,尽管这些行业并未被政府直接要求,但自2012年个人资料保护法令(PDPA)生效后,很多公司主动测试,为的是防患于未然。
“一家公司的会员系统收集了顾客姓名、电话等个人信息,一旦它的系统被黑客侵入盗取资料公司就触犯个人资料保护法令,并被当局调查,如果公司本身没有进行渗透测试,可能会因没有做好网安措施而受重罚。”
我国渗透测试普及度比邻国高
Rajah & Tann Cybersecurity公司在东南亚大部分国家都有业务。据黄安志观察,渗透测试在新加坡的普及度要比邻国高得多,很大程度上是因为监管严格。新加坡虽然是东南亚国家中第三个实施个人信息保护相关法律的国家,但判例却远超邻国。
今年5月,我国国会三读通过网络安全(修正)法案,扩大网安监管范围。黄安志预计,接下来新加坡的渗透测试市场需求会继续增长。
张亦坚也指出,白帽测试需要国家监管力量去推动。“很多小公司会算一笔账,即使被攻击了损失也不会太大,因此不愿意花钱去买网安服务。可是一旦被攻击,受损的是一般民众的利益,还有国家的信誉。”
黄安志说,在白帽领域,一般企业仅做渗透测试,至于更为严格的红队测试,通常是比较大型或成熟的公司,才会购买服务。
防白帽“黑化"业者:用户必须愿意为网安买单
在一些从业者看来,仅靠监管远远不够。从事白帽研究十多年的白帽黑客王铁磊受访时说,从黑客研究的历史来看,很难有不被攻破的系统或设备,因此,市场可能会出现“劣币驱逐良币”的情况。
“很多企业会想,反正没有绝对的安全,只要我符合法律法规的最低要求,好像就尽到了应尽的义务。”
王琦认为,根本上还是要从产业的角度出发,能让消费者投票成为推动网安的一只手,这就回到了如何凸显网安价值的问题。
他提出一个问题,一个手机厂商会在摄像头上砸钱,因为消费者会为了拍照功能买单。那么消费者为什么不可以为安全买单?
他说,当消费者知道,这么多产品里哪个是更安全的,企业安全投入的价值自然就会体现出来。因此,量化安全性,对推动行业发展至关重要。
关于如何量化,他认为还是要靠攻击。“攻击视角的对抗才是检验安全防御水平的唯一可行道路。你得真正像碰撞测试那样,通过碰撞判断出安全性。”
今年的GeekCon会议发布关于对抗性漏洞评分系统(Adversarial Vulnerability Scoring System)的白皮书,提供一份基于对抗的评分指南,用于评估信息系统、物联网或其子组件的安全级别。
王琦指出,由于白帽与黑帽拥有同样的技术,顶尖人才具有很大杀伤力,因此当白帽的价值被认可、被需要后,自然也会避免他们向黑暗的一方流动。
黄安志认为,白帽黑客的品行很重要,但行业不能仅依赖“持枪者的道德”。如果一个社会给不了白帽黑客符合他价值的回报,他被黑色一方诱惑的可能性就更大。
人才薪资和素质较高 我国网安公司具优势
他提到一个亲身经历的小故事。一次,他问来自邻国的一个客户,为什么不找当国的网安公司,而要花更高的成本委托给新加坡公司。客户的回答是,担心本国一些网安人员白天是白帽,晚上变成黑帽——一边做渗透测试,一边做恶性入侵。
这也体现了新加坡网安公司的竞争优势。黄安志说:“新加坡人普遍给人守规则的印象,再加上人才的薪资较高,无须做坏事来赚钱,因此比较受客户信任。”
他说,对高端人才的吸引力,也可以帮助本地网安公司向更广阔的市场扩展,向东南亚邻国提供比较高等的服务,比如红队测试。
不过,黄安志坦言,白帽主要是追攻击,而我国网安行业对攻击的重视还是不够。“据我所知,学校里学习网络安全的学生,很多时候只学防守,不学攻击。但风险是真实的,我们不能有鸵鸟心态。知己知彼,才能百战百胜。”
GEEKCON 2024国际站集锦