國內黑客團隊發(fā)展迅猛 世界黑客大會接受四方膜拜

BlackHat黑帽技術大會被業(yè)內公認為信息安全行業(yè)的最高盛會，具有很強技術性的信息安全會議。DEFCON世界黑客大會則被譽為全球黑客的 “秘密嘉年華”，同時也被認為最能代表黑客精神和文化。兩場黑客大會將吸引來自各大企業(yè)和政府的研究人員，以及來自世界各地安全廠商和研究組織的優(yōu)秀黑 客，甚至還會吸引到美國國防部、聯邦調查局、國家安全局等政府機構官員的參與。

近兩年，國內黑客也頻繁登上BlackHat的大會講臺。2014年，2組中國黑客的議題登上BlackHat會議；2015年，9組中國議題閃耀 BlackHat。在今年，來自國內8支黑客團隊的15位頂級黑客技術專家，將登上BlackHat講臺，接受四方膜拜。

在BlackHat大會現場，微軟還特別租用了大片場地，以背景墻的形式列出為微軟安全做出巨大貢獻的MSRC Top100黑客貢獻榜，百度安全事業(yè)部的X-lab（百度安全實驗室）的黃正和李克萌入選TOP100黑客貢獻榜，百度維持了微軟漏洞挖掘能力的領先水 平，獲得16次致謝排名全球第三，而黃正和李克萌個人分別位列全球第八和第八十二位，百度安全黃正位列中國第一。

另外，來自百度X-lab的張煜龍和韋韜還入選了Pebble Hall of Fame（榮譽殿堂）。張煜龍和韋韜發(fā)現了一個能夠讓攻擊者完全控制所有（幾百萬）Pebble智能手表、進而對受害者生活工作的隱私數據進行竊取和控制 的安全漏洞，并提交了防護方案。除了Pebble智能手表，所有基于ARM Cortex-M的智能設備、物聯網設備都受影響，因此這一安全漏洞的發(fā)現意義重大。張煜龍和韋韜將在10月丹佛的Virus Bulletin會議上報告這個問題。

向世界發(fā)出中國聲音 國內安全技術獲得世界肯定

在互聯網產生的第一個20年里，中國幾乎沒有在這個虛擬世界中發(fā)出什么聲音。然而，最近20年，互聯網讓國人的生活方式、思維方式乃至價值觀發(fā)生巨 變。世界既感受到了互聯網對中國的影響，也看到了中國互聯網力量的強力延伸。坐擁全球最大的網民群體，中國的互聯網日益面臨更加復雜的挑戰(zhàn)。特別是從頂層 設計和戰(zhàn)略層面而言，國內互聯網行業(yè)正處與十字路口抉擇。正是在這樣的背景下，以BAT為首的國內互聯網企業(yè)，也越來越清晰的意識到網絡安全的重要性，更 以“中國式崛起”的超高速度，深耕世界網絡安全領域。

在本次BlackHat會議中，多位來自國內的安全團隊成員登上BlackHat演講臺，尤其是百度X-lab團隊的韋韜，就全球安卓平臺的安全問 題，做了精彩演講。韋韜將安卓系統(tǒng)的安全性問題，形象的比喻為“生態(tài)的安全漏洞”、“Android 系統(tǒng)的白血病”。從安卓內核漏洞出發(fā)，韋韜系統(tǒng)的闡述了安卓生態(tài)中的安全錯位導致了整個生態(tài)進入了一種長期以來難以治愈的安全重癥。安卓絕大部分的安全機 制依賴于內核的完整性。如果有內核漏洞，那么基礎性的安全機制就會崩潰。當攻擊者獲得內核控制權時，可以輕易繞過App隔離機制以及絕大多數安卓系統(tǒng)安全 機制。

對于解決辦法，韋韜在大會上展示了百度安全最新研發(fā)的已申請五項專利的自適應內核熱修復技術。這種技術無需實際內核編譯所用的源碼和配置，能夠自動 匹配目標安卓系統(tǒng)的漏洞進行在線熱修復。這種技術極大的提升了廠商面對安卓高度碎片化的應對能力，而且也大大縮短了廠商推送內核安全補丁到最終用戶的過 程。根據統(tǒng)計，目前采用此技術可以修復市場中99.4%的安卓產品的內核漏洞。

維護網絡世界安全 更需專注于安全人才培育

目前，國內高校每年輸送的信息安全專業(yè)畢業(yè)生不足1萬人，但是行業(yè)人才缺口至少10萬人。此外，高校教育重理論輕實踐，這與企業(yè)急需的實戰(zhàn)型人才差距懸殊。

百度·藍蓮花組織發(fā)起中國XCTF聯賽的初衷，正是希望借助比賽的形式，促進中國信息安全專業(yè)學生的對抗實戰(zhàn)能力，促進實戰(zhàn)人才的培養(yǎng)。CTF奪旗 賽在網絡安全領域中，是最具實戰(zhàn)與比拼黑客團隊技術能力的競技比賽形式，而CTF賽制也正起源于1996年DEFCON全球黑客大會。事實上，也正是由百 度·藍蓮花率先將DEFCON的CTF賽制引入國內，并最終發(fā)展為國內頂級XCTF聯賽。

以開放之姿舉全社會之力 共同打造全息安全生態(tài)

在“智能+”時代，消費者的網絡安全逐漸變成了產品的基礎，安全已經由單純的用戶側設備安全變成了消費全流程生態(tài)安全，安全在用戶體驗中成為不可或缺的基礎。安全將成為所有服務提供和使用者的內在基因，每個網絡參與者和提供者都是安全的受益者。

尤其是在萬物互聯的今天，傳統(tǒng)行業(yè)接入互聯網是大勢所趨，但所面臨的第一難題就是如何做好安全防范。百度安全充分利用云計算、大數據、人工智能等諸 多先進技術，解決眾多行業(yè)安全難題，迎合安全行業(yè)由產品向能力升級，功能向服務升級，可為不同行業(yè)、不同企業(yè)，甚至不同應用場景，提供基于人工智能、云計 算、大數據等安全技術的個性化全息、立體安全解決方案，滿足“智能+”時代互聯網需求升級的新變化。 

通過多年技術與多行業(yè)用戶積累，百度安全正致力于構建智能化、全球化、開放的全息安全生態(tài)系統(tǒng)的?；谠擉w系，百度安全將實現為 3600行提供高等級的安全防御能力和個性化的安全解決方案。面對數量日漸龐大的設備基數及日益嚴謹的安全調整，絕非一家安全廠商或一個安全行業(yè)，通過自 身努力即可實現，百度安全正以開放性的姿態(tài)，聯合工信部、公安部、終端廠商、運營商等多方領域，通過規(guī)范行業(yè)標準、加強犯罪打擊、直連用戶需求及更多數據 共享等機制，進一步完善全息安全生態(tài)的建設，為社會構建安全可靠的高等級防御體系。