黑客轉(zhuǎn)型白帽子 漏洞銀行獲500萬(wàn)美元投資

2015-08-26 11:25:21 來(lái)源:解放日?qǐng)?bào)作者:佚名 人氣: 次閱讀 121 條評(píng)論

日前,由一群網(wǎng)絡(luò)安全高手創(chuàng)辦的漏洞銀行獲軟銀中國(guó)資本500萬(wàn)美元投資,完成了A輪融資。他們創(chuàng)立了一種新的商業(yè)模式:邀企業(yè)在漏洞銀行平臺(tái)上發(fā)布網(wǎng)絡(luò)安全漏洞的定價(jià),黑客...

原標(biāo)題:黑客轉(zhuǎn)型白帽子 "漏洞銀行"獲500萬(wàn)美元投資

日前,由一群網(wǎng)絡(luò)安全高手創(chuàng)辦的漏洞銀行獲軟銀中國(guó)資本500萬(wàn)美元投資,完成了A輪融資。他們創(chuàng)立了一種新的商業(yè)模式:邀企業(yè)在漏洞銀行平臺(tái)上發(fā)布網(wǎng)絡(luò)安全漏洞的定價(jià),黑客找到漏洞即可提交;平臺(tái)和相關(guān)企業(yè)共同評(píng)判漏洞是否存在,屬于什么風(fēng)險(xiǎn)級(jí)別,確認(rèn)后黑客即可獲得報(bào)酬,并成為白帽子(防御網(wǎng)絡(luò)攻擊的人)。上海謀樂(lè)網(wǎng)絡(luò)科技有限公司創(chuàng)始人羅清籃認(rèn)為,這一商業(yè)模式將使黑客獲得合法收益,引導(dǎo)他們退出黑色產(chǎn)業(yè)鏈。

羅清籃是一名85后創(chuàng)業(yè)者,中學(xué)時(shí)曾是一名黑客,因出色的網(wǎng)絡(luò)安全技術(shù)特長(zhǎng)被保送進(jìn)東華大學(xué)信息安全專業(yè)。他也轉(zhuǎn)型為白帽子,帶領(lǐng)同學(xué)們研發(fā)出能監(jiān)測(cè)網(wǎng)頁(yè)木馬的引擎。本科畢業(yè)后,羅清籃和幾名同學(xué)踏上了創(chuàng)業(yè)之路。經(jīng)過(guò)近5年發(fā)展,謀樂(lè)公司已擁有許多客戶,包括大眾點(diǎn)評(píng)、1號(hào)店等知名互聯(lián)網(wǎng)企業(yè)。他們?yōu)榭蛻籼峁┮徽拙W(wǎng)絡(luò)安全解決方案,即在客戶授權(quán)的情況下,夜深人靜時(shí)模擬黑客攻擊,尋找安全漏洞,找到后就告知客戶。

但羅清籃團(tuán)隊(duì)并沒(méi)有滿足于這種信息安全服務(wù)模式,而是夢(mèng)想重塑行業(yè)的生態(tài)環(huán)境。羅清籃覺(jué)得,目前市場(chǎng)上,漏洞的價(jià)值被嚴(yán)重低估了。不少黑客發(fā)現(xiàn)網(wǎng)站、移動(dòng)端的漏洞后,向企業(yè)報(bào)告,卻沒(méi)有得到合理的報(bào)酬。這在客觀上導(dǎo)致許多黑客不會(huì)選擇做白帽子,而是成為黑色產(chǎn)業(yè)鏈中的一環(huán):發(fā)現(xiàn)漏洞后就盜取用戶數(shù)據(jù),將它們賣給這家企業(yè)的競(jìng)爭(zhēng)對(duì)手。

羅清籃想到,用市場(chǎng)化手段“收編”黑客,讓他們幫助企業(yè)修復(fù)漏洞。今年初,創(chuàng)業(yè)團(tuán)隊(duì)建立了漏洞銀行平臺(tái),口號(hào)是“公正衡量每個(gè)漏洞的價(jià)值”,把安全服務(wù)的內(nèi)容和定價(jià)標(biāo)準(zhǔn)化。目前,已有數(shù)百家企業(yè)和上千名白帽子入駐平臺(tái)。企業(yè)可匿名發(fā)布各級(jí)別漏洞的定價(jià),高危漏洞均價(jià)為5000至6000元。白帽子提交漏洞后,一經(jīng)確認(rèn)和等級(jí)評(píng)估,即可獲得相應(yīng)報(bào)酬。在平臺(tái)的白帽子風(fēng)云榜上,記者看到,排名第一的白帽子已發(fā)現(xiàn)38個(gè)漏洞,獲獎(jiǎng)金16.35萬(wàn)元。這么多錢?面對(duì)記者的疑問(wèn),羅清籃笑著說(shuō):“這是白帽子應(yīng)得的,只有讓黑客獲得較高的正當(dāng)收益,才能更有效地阻止他們利用漏洞進(jìn)行攻擊,并通過(guò)黑色產(chǎn)業(yè)鏈獲取不法收益。”

運(yùn)營(yíng)半年多來(lái),漏洞銀行已幫助不少企業(yè)解決了棘手問(wèn)題。今年4月,一家互聯(lián)網(wǎng)金融公司找到他們,說(shuō)自己運(yùn)營(yíng)的P2P平臺(tái)上,大量用戶存款數(shù)據(jù)被篡改。企業(yè)“報(bào)案”當(dāng)天,漏洞銀行就邀請(qǐng)幾十名白帽高手進(jìn)行滲透性測(cè)試,很快還原了黑客攻擊的方式。企業(yè)修復(fù)漏洞,避免了倒閉的厄運(yùn)。“隨著互聯(lián)網(wǎng)金融行業(yè)的興起,這類網(wǎng)絡(luò)平臺(tái)的信息安全問(wèn)題值得政府重視。許多企業(yè)在提供類似銀行的金融業(yè)務(wù),卻沒(méi)有相應(yīng)級(jí)別的安全保障,存在很大隱患。”羅清籃建議,我國(guó)有關(guān)部門可借鑒國(guó)際上普遍采用的“PCI/DSS第三方支付行業(yè)安全標(biāo)準(zhǔn)”,盡快為互聯(lián)網(wǎng)金融行業(yè)設(shè)立信息安全標(biāo)準(zhǔn),并利用行業(yè)標(biāo)準(zhǔn)對(duì)企業(yè)做資質(zhì)評(píng)估,制定行業(yè)指南,使互聯(lián)網(wǎng)金融更健康地發(fā)展。