在近日上线的首部安全系列推理剧《烧脑24小时》第六集《激光里的孙悟空》中,腾讯安全联合实验室旗下的玄武实验室安全专家展示了利用条码阅读器漏洞,通过激光向某科技公司电脑植入木马,并成功获取数据制作一个名为孙悟空的员工卡。一时间,不仅震撼了视频中科技公司的全体员工,更是让荧屏之外的观众惊讶的合不上嘴。
事实上,这仅仅是腾讯安全玄武实验室能力的冰山一角,作为拥有业内顶尖白帽黑客“TK教主”于旸的腾讯安全玄武实验室专注针对各类型漏洞的挖掘、利用、检测、防御,以及涉及硬件、无线等方面的复合安全风险,已先后帮助 Google、Microsoft等国际大型企业修复了 223个严重安全问题。而在业内看来,腾讯安全玄武实验室等腾讯安全力量帮助众多企业解决安全问题的背后,是其独特人才培养模式成效的彰显。
以赛代练 关注高校安全人才
就目前而言,中国互联网安全技术人才紧缺,仍旧是限制中国信息网络安全实力提升的重要原因之一。国家网信办网络安全协调局局长赵泽良曾表示,目前我国网络安全方面人才缺口仍然很大,相关专业每年本科、硕士、博士毕业生之和仅8000余人,而我国网民数量近7亿人。
网络安全高校储备人才资源稀少的同时是就业困难。腾讯安全玄武实验室负责人于旸在清华大学演讲时曾表示,国内有很多院校开办信息安全技术相关专业,但学生找工作难,企业缺人才的问题依然存在,归根结底是现有的高校教育模式无法满足企业。
于是很多民间自发组织的网络安全技术对抗联赛应运而生,以期建立学界与业界沟通的桥梁。而在腾讯安全赞助本土的国际网络安全技术对抗联赛——XCTF联赛之后,更是加快了学界向业界输送安全人才的速度。
在全程赞助了2016年第二届XCTF联赛之后,腾讯安全就圈定了XCTF联赛中90%的优秀选手,并根据他们的兴趣和专业,分配到腾讯多条业务线的安全部门,给予专业的孵化和安全业界人脉、教育机会等各种支持,并为他们提供出国学习和交流机会。此外,还会让他们参与到腾讯安全联合实验室的工作中,与顶尖“白帽黑客”一起交流学习,加快能力提升。
除此之外,这些网络安全新兵还能获得在国际舞台上与各路群雄对抗的机会,进一步提升网络安全信息技术与经验。以上海交大的网络安全团队——0ops战队为例,当时在第二届XCTF联赛中获得了第三名,被赛事组委会挑中进入极棒特训营。在经过针对性的强化训练之后,0ops战队和blue-lotus战队组成的b1o0p联合战队在美国拉斯维加斯举办的“黑客奥斯卡”Defcon CTF全球总决赛上成功创造该项赛事中国战队新的排名纪录,获得该项赛事亚洲第一的历史最好成绩。
筑巢引凤 平台化输出安全研究成果
腾讯安全的人才培养范围并不局限于新人培养。对于业内顶尖的安全人才,腾讯安全打造的实验室模式凭借自由开放的特点,吸引了包括吴石、TK教主、yuange等众多互联网安全领域的顶尖人才的加盟。
2016年7月,腾讯安全成立了国内首个互联网安全实验室矩阵——腾讯安全联合实验室,旗下涵盖科恩实验室、玄武实验室、湛泸实验室、云鼎实验室、反病毒实验室、反诈骗实验室、移动安全实验室七大实验室,基本涵盖了当下网络安全的各个领域。这也意味着加入进来的白帽黑客可以根据自己擅长的领域,选择适合自己的实验室进更深层次的能力提升。同时,在告别单打独斗之后,团队成员可以分工协作,从各个擅长的角度和技术手法来挖掘系统漏洞。
然而这些并不是真正吸引越来越多的顶尖安全人才加盟腾讯安全联合实验室的原因。腾讯安全联合实验室集约化培养顶尖安全人才的同时,依然尊重每一位白帽黑客的独立和自由。他们可以随时加入到腾讯安全为其提供的开放安全实验室中,共享腾讯安全实验室的各种资源,且没有繁杂的考核指标和任务。
“我们希望得到的是尊重,理解和认可,希望更多的人知道我们有能力可以挖掘出很多安全漏洞,通过这些安全领域的研究成果能够提升整个行业的业务安全水平。目前担任腾讯安全科恩实验室负责人的吴石表示,昔日靠单打独斗来发现漏洞,通过专业的漏洞平台来呼吁厂商改进,但往往人微言薄,个人的力量有限,发现的漏洞也很难得到厂商第一时间的回复响应和加固,导致有些漏洞后没能被及时的修复。如今,依托于腾讯的各大安全平台,发现漏洞到安全输出的路径变得更加直接。“白帽”黑客只要将自己的发现及时反馈,就可以将安全能力快速输出,及时保障用户的上网安全,而个人也能获得更高的成就感。
从赞助网络安全信息对抗联赛发现提拔优秀安全人才,到集约化管理顶尖安全人才并快速输出技术研究成果。腾讯安全逐渐摸索出一套完善的人才梯度培养体系,不仅弥合了当下信息安全人才市场供需不平等的鸿沟,也为共建安全新生态圈奠定了坚实的人才基础,这无疑将进一步增强用户和企业对抗当下愈加严峻的网络安全形势的信心。