谈360漏洞库的建设

问：周总要打网络战，宣布要建设安全大脑和漏洞库。现在关于漏洞库建设方面，现在有两个国家层面的漏洞库，这方面您怎么看待现在发展的态势？和美国对比，我们的漏洞库水平如何？美国还有什么可供借鉴或改进的地方？

MJ（郑文彬）：国内有国家层面的国家信息漏洞库，我也是信息漏洞库的特别专家，我们360也在做自己的漏洞平台。水平上，我们众测漏洞平台，和国外HackerOne这样的组织差不太多，在漏洞质量以及特别高级的漏洞收集上，国内还没有特别好的平台，这也是我们现在想要去做的一件事情。

我们团队一直在做的网络安全大脑里核心的事情，比如高级威胁对抗，漏洞的发现，我今天下午演讲也讲到WannaCry里有集成APT、漏洞方面的能力，我们为国家、政府、企业做好这些事情，比如通过Vulcan团队的技术，以及这些技术延伸出来的产品都会去做。

360 漏洞挖掘的能力

问：漏洞这个事情我们国家一直在做，应该以勒索病毒为契机，一下为全民共知，让人们一下知道这是杀伤性武器。360自身在漏洞挖掘上的力度、能力、投入有没有增强，还是和以前一样按部就班挖掘和寻找漏洞。社会上、政府、企业对这个事情的认识有什么变化？他们和我们之间的合作有没有加强，政策上升到全新的高度？

MJ（郑文彬）：360内部一直在持续投入漏洞挖掘研究，不仅对自己的漏洞挖掘研究，还发现别人，像RSA这样的组织，利用网络漏洞进行攻击的发现，两方面我们都一直在投入最大的力量在做的。上午老周也讲到，网络攻防很多是对抗，不是今天投入100万，明天投入1000万就能有相应的收获，还是比较慢的过程。360在漏洞挖掘、漏洞发现，漏洞团队的投入和建设处于国际前列，像在BlackHat“全球黑帽大会”上，在The Pwnie Awards“全球白帽黑客奥斯卡”颁奖盛典中，360 Vulcan Team招啟汛荣膺“最佳提权漏洞奖”，一举打破了连续12年无中国人得奖的记录，成为中国历史首个“全球白帽黑客奥斯卡”大奖得主。微软公开表彰全球安全精英，发布MSRC全球最具价值安全精英榜。今年我们360Vulcan团队的古河（ Yuki chen）、招啟汛（Qixun zhao）包揽前两名，这是中国人首次卫冕第一。而且360公司共有10人荣耀登榜，其中7人皆在榜单前50，无论入选人数和综合排名，360均位列世界第一。WannaCry事件之后，漏洞攻击、网络武器会受到更多政府和企业的认同，对漏洞的响应、发现和对漏洞修复上，在这个事件之后更积极了，我们现在也在开展合作。

谈网络预警机制和企业共同发展

问：从网络安全预警机制方面，未来360以及整个行业会有怎样的发展？我们还需要做哪些更好的工作，会有哪些趋势呢？

MJ（郑文彬）：今天下午我的议题里说，我们受到网络攻击就别着不说或当作不发生，为什么这样对网络安全不好呢？在美国与公司发现网络攻击公开出来，这样整个网络安全社区以及网络安全公司、企业里的网络安全人员，其实这也是一种预警，让这些事件都能及时应对，比如0day漏洞就及时打补丁，IOC的就分享机制。我们有个360威胁情报中心，除了去发现威胁和研究威胁之外，很核心的使命也是分享、共享我们网络情报能力给客户、友商、生态圈里的企业，帮助更多的其他企业和安全公司，有这样的能力去应对。上午老周也说，网络战也需要网络安全同盟的，不是我们一家公司能cover所有的事情，预警这块未来还是可以有很多事情可以去做的。

问：网络战时代来临，传统的安全公司有什么样的防御弊端？

MJ（郑文彬）：很多人知道，传统网络安全公司以及传统的安全行业都是合规、等保这种的基线安全来做的，不会针对最终的效果，最终是不是能防御网络战来评估，由这样的需求驱动产生这种产品，在应对网络战以及高级攻击时会有很多弊端。传统网络安全产品不是说完全就没有，作为安全基线，漏洞能修补的及时修补，有审计等东西存在肯定比没有要好。最后，它是个木桶效应，水放多了其实也放不下。传统安全公司还是要更多地补足威胁情报、网络安全专家和大数据能力，未来希望能给我们的网络安全生态圈和企业提供这样的能力。我们也会有相应的产品，有威胁情报中心和产品，内部会利用这样的数据，当然我们会给生态企业提供这样的能力和赋能。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法