3月30日，首個面向全球白帽和技術精英開放的、專注于漏洞響應和防護的全球性安全行業(yè)大會——補天白帽大會在深圳舉行，富有傳奇經歷的補天精英白帽子華不再揚表示，“安全是一個持續(xù)運營的過程，需要跟隨企業(yè)IT資產變化，來實時監(jiān)控發(fā)現(xiàn)黑客行為，及時響應威脅事件的發(fā)生，將企業(yè)面臨的損失減到最小。”

　　補天精英白帽子 華不再揚

據《2016年中國網站安全漏洞形勢分析報告》數據顯示，360網站安全檢測平臺2016全年共掃描各類網站197.9萬個，其中存在漏洞的網站91.7萬個，占比為46.3%，存在高危漏洞的網站14萬個，占掃描網站總數的7.1%。

華不再揚到，安全問題已經是企業(yè)面臨的最重大風險，100%的企業(yè)存在安全問題，73%的企業(yè)缺乏解決問題的能力，67%的企業(yè)遭遇過嚴重安全事故，尤其是金融、電商、游戲行業(yè)都遭遇過數據泄露等重大安全事件。如果國家相關監(jiān)管部門已經進行漏洞通告的情況下企業(yè)沒有及時處置被黑客入侵，泄露了公民信息，最終是要承擔法律責任的。

近幾年來，黑色產業(yè)日益猖獗，頂級黑客手中掌握的社工庫數量超過10億條。據媒體統(tǒng)計，每年因為黑客攻擊導致的企業(yè)損失已經超過了千億美元，70%的企業(yè)大部分服務器上都沒有很好的安全防護措施，大部分的安全防護手段只是放在邊界的防火墻，但是在很多時候黑客進入企業(yè)內網之后防火墻就失去了防護的作用。

企業(yè)的安全防護為何如此難做？華不再揚談到，一是由于企業(yè)在業(yè)務發(fā)展迅速，IT資產變更頻繁，這使得原本在早期規(guī)劃好的邊界安全防護手段幾乎看護不過來，同時在安全人員的人力投入也不夠。二是黑客對于商業(yè)利益驅動的持續(xù)攻擊、高級攻擊手段從多緯度滲透、形成了專業(yè)的組織，這對于只是被動防御的企業(yè)來說根本就是防不勝防。

華不再揚強調，黑客在入侵企業(yè)之前，通常會去收集企業(yè)的資產信息，如企業(yè)的主域名，以及針對主域名進行一些子域名的收集，還有企業(yè)的Web使用了什么框架，開放了什么端口，端口的協(xié)議等等。通過這些資產的收集，黑客在去分析系統(tǒng)的漏洞，查找Web站點的弱口令、反序列化、信息泄露等。另一方面，黑客也會一刻不停的嘗試利用不同的手段進行滲透，他們的目的和手段會非常多，如郵件攻擊、網站釣魚、私人信息收集、互聯(lián)網論壇郵件、社交信息等?？偟膩碚f，黑客的準備得十分充分，并且愿意投入資源，有耐心的去滲透。

“黑客在發(fā)動攻擊之前會如上面所述去收集企業(yè)的一些資產信息，同樣的，作為安全防御方的企業(yè)來說，也要進行資產信息收集了，并且企業(yè)要比黑客掌握得資產信息更加全面才行。”華不再揚講到，企業(yè)的安全防護最重要的一件事情是清晰的了解企業(yè)所有重要的資產和對外的業(yè)務以及對內提供的IT服務，了解企業(yè)安全現(xiàn)狀進行資產風險評估，然后再進行安全建設。