惊呆!这支中国白帽军团靠找茬 519 次扬名海外
提到漏洞,2017 年最让人难忘的就是利用「永恒之蓝」漏洞攻击武器的 WannaCry 勒索病毒在全球爆发。大安全时代背景下,漏洞已经成为重要的网络武器,直接影响国家安全、社会安全、基础设施安全和信息安全等方面。在漏洞被恶意利用之前,白帽子先挖掘到并提交厂商修复就显得尤为重要。
作为国内领先的安全厂商,360 在 2017 年度发现漏洞总数达到 519 个,成为全球挖掘漏洞最多的安全厂商,继 2016 年获 408 次致谢后再次名列首位。
「冠军」「翻倍」「首个」 三大关键词数说最强白帽子军团
根据 2017 年相关数据显示,360 全年共发现漏洞 519 个,覆盖移动端、PC 端和虚拟化及开源软件等方面。
三年蝉联移动领域漏洞挖掘冠军:据谷歌漏洞致谢榜统计,360 Alpha Team、360IceSword Lab、360 C0RE Team 等安全团队本年度共发现谷歌安卓漏洞 227 个,比谷歌安全团队发现漏洞多七倍。与去年发现 155 个漏洞成绩相比,今年 360 发现漏洞数量大大增加,这也是自 2015 年谷歌公布漏洞致谢以来第三年蝉联冠军,在移动领域继续保持着以往全球领先的优势。
PC 端漏洞挖掘数量翻倍:在传统优势领域 PC 端,360 同样收获颇丰。在本年度微软致谢名单中,360 共发现微软漏洞 81 个,在微软致谢榜位列前三,同时凭借 4 个赏金项目,成为全球拿下微软赏金项目最多的安全厂商。相比于 2016 年的 39 个漏洞,本年度超一倍的漏洞数,更是让 360 成为微软当之无愧的挖洞主力。
首个上榜 GSMA 安全研究名人堂:从 2016 年起,360 在虚拟化开源领域重兵布阵,2017 年发现虚拟化软件漏洞 51 个、开源软件漏洞 36 个。同时,360 还向其他安全软件提供漏洞 20 个,力求共同建立严密的网络安全空间。值得一提的是,360 凭借旗下安全团队 Unicorn Team 所发现的全球首个 4G 网络协议高危漏洞,成为自 GSMA 安全研究名人堂设立以来首家上榜公司。
「世界破解之王」「常胜将军」「漏洞挖掘机」 揭秘 360 人才体系
网络安全的本质在于人的对抗,360 创下全球领先的漏洞研究成绩,得益于其优秀的网络安全人才体系,旗下 14 支安全研究团队共同构成东半球最强白帽军团,全面覆盖各大系统、应用、网络、IoT、车联网、云计算、虚拟化等领域。
在这 14 支团队中,360 安全卫士的攻防研究团队——360 Vulcan Team,始终专注挖掘软件的安全漏洞和漏洞威胁,在历年 Pwn2Own、Mobile Pwn2Own 大赛上的表现都十分优异,接连拿下多个「首次」记录:亚洲首次攻破 IE、中国首次攻破 Chrome 等,其中攻破 IE 浏览器意味着欧美战队在该项目上的统治时代就此结束。
在 2017 年 3 月的 Pwn2Own 大赛上,360 Vulcan Team 作为 360 安全战队主力,不仅成功实现了对 Edge Win10 VMware 的连环三杀破解,创造了 Pwn2Own 史上最高难度破解的纪录,最终还捧回了"Master of Pwn"的总冠军奖杯。
说到 Pwn2Own、Mobile Pwn2Own 大赛,不得不提到另外一支被称为「常胜将军」的队伍——360 Alpha Team,该团队致力于 Android 系统漏洞以及移动浏览器漏洞的挖掘,凭借强大的战斗力,一年之内在国际四大知名黑客大赛赢得大满贯,成为目前世界上最快实现黑客比赛大满贯的团队。
此外,360 旗下拥有「漏洞挖掘机」之称的冰刃实验室(IceSword 团队),作为系统内核安全研究顶级团队,一直是 Android 漏洞挖掘领域的主力。2016 年获得安卓致谢 72 次,世界排名第一。在 2017 年共获得 64 次谷歌安卓致谢,14 次微软致谢,11 次华为致谢,23 次高通致谢,在漏洞挖掘数量上硕果累累。
网络攻防的竞争归根到底是人才的竞争,网络安全人才决定着网络安全厂商的技术实力。近年来,360 积极布局网络安全人才体系,不断提高其核心竞争力和安全实力,在此基础之上,360 未来或将展现更强的漏洞挖掘及研究实力。
