揭秘騰訊安全人才培養(yǎng)模式 激光里的孫悟空是這樣煉成的

在近日上線的首部安全系列推理劇《燒腦24小時》第六集《激光里的孫悟空》中，騰訊安全聯(lián)合實驗室旗下的玄武實驗室安全專家展示了利用條碼閱讀器漏洞，通過激光向某科技公司電腦植入木馬，并成功獲取數(shù)據(jù)制作一個名為孫悟空的員工卡。一時間，不僅震撼了視頻中科技公司的全體員工，更是讓熒屏之外的觀眾驚訝的合不上嘴。

事實上，這僅僅是騰訊安全玄武實驗室能力的冰山一角，作為擁有業(yè)內(nèi)頂尖白帽黑客“TK教主”于旸的騰訊安全玄武實驗室專注針對各類型漏洞的挖掘、利用、檢測、防御，以及涉及硬件、無線等方面的復(fù)合安全風(fēng)險，已先后幫助 Google、Microsoft等國際大型企業(yè)修復(fù)了 223個嚴(yán)重安全問題。而在業(yè)內(nèi)看來，騰訊安全玄武實驗室等騰訊安全力量幫助眾多企業(yè)解決安全問題的背后，是其獨特人才培養(yǎng)模式成效的彰顯。

以賽代練 關(guān)注高校安全人才

就目前而言，中國互聯(lián)網(wǎng)安全技術(shù)人才緊缺，仍舊是限制中國信息網(wǎng)絡(luò)安全實力提升的重要原因之一。國家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局局長趙澤良曾表示，目前我國網(wǎng)絡(luò)安全方面人才缺口仍然很大，相關(guān)專業(yè)每年本科、碩士、博士畢業(yè)生之和僅8000余人，而我國網(wǎng)民數(shù)量近7億人。

網(wǎng)絡(luò)安全高校儲備人才資源稀少的同時是就業(yè)困難。騰訊安全玄武實驗室負(fù)責(zé)人于旸在清華大學(xué)演講時曾表示，國內(nèi)有很多院校開辦信息安全技術(shù)相關(guān)專業(yè)，但學(xué)生找工作難，企業(yè)缺人才的問題依然存在，歸根結(jié)底是現(xiàn)有的高校教育模式無法滿足企業(yè)。

于是很多民間自發(fā)組織的網(wǎng)絡(luò)安全技術(shù)對抗聯(lián)賽應(yīng)運而生，以期建立學(xué)界與業(yè)界溝通的橋梁。而在騰訊安全贊助本土的國際網(wǎng)絡(luò)安全技術(shù)對抗聯(lián)賽——XCTF聯(lián)賽之后，更是加快了學(xué)界向業(yè)界輸送安全人才的速度。

在全程贊助了2016年第二屆XCTF聯(lián)賽之后，騰訊安全就圈定了XCTF聯(lián)賽中90%的優(yōu)秀選手，并根據(jù)他們的興趣和專業(yè)，分配到騰訊多條業(yè)務(wù)線的安全部門，給予專業(yè)的孵化和安全業(yè)界人脈、教育機會等各種支持，并為他們提供出國學(xué)習(xí)和交流機會。此外，還會讓他們參與到騰訊安全聯(lián)合實驗室的工作中，與頂尖“白帽黑客”一起交流學(xué)習(xí)，加快能力提升。

除此之外，這些網(wǎng)絡(luò)安全新兵還能獲得在國際舞臺上與各路群雄對抗的機會，進(jìn)一步提升網(wǎng)絡(luò)安全信息技術(shù)與經(jīng)驗。以上海交大的網(wǎng)絡(luò)安全團(tuán)隊——0ops戰(zhàn)隊為例，當(dāng)時在第二屆XCTF聯(lián)賽中獲得了第三名，被賽事組委會挑中進(jìn)入極棒特訓(xùn)營。在經(jīng)過針對性的強化訓(xùn)練之后，0ops戰(zhàn)隊和blue-lotus戰(zhàn)隊組成的b1o0p聯(lián)合戰(zhàn)隊在美國拉斯維加斯舉辦的“黑客奧斯卡”Defcon CTF全球總決賽上成功創(chuàng)造該項賽事中國戰(zhàn)隊新的排名紀(jì)錄，獲得該項賽事亞洲第一的歷史最好成績。

筑巢引鳳 平臺化輸出安全研究成果

騰訊安全的人才培養(yǎng)范圍并不局限于新人培養(yǎng)。對于業(yè)內(nèi)頂尖的安全人才，騰訊安全打造的實驗室模式憑借自由開放的特點，吸引了包括吳石、TK教主、yuange等眾多互聯(lián)網(wǎng)安全領(lǐng)域的頂尖人才的加盟。

2016年7月，騰訊安全成立了國內(nèi)首個互聯(lián)網(wǎng)安全實驗室矩陣——騰訊安全聯(lián)合實驗室，旗下涵蓋科恩實驗室、玄武實驗室、湛瀘實驗室、云鼎實驗室、反病毒實驗室、反詐騙實驗室、移動安全實驗室七大實驗室，基本涵蓋了當(dāng)下網(wǎng)絡(luò)安全的各個領(lǐng)域。這也意味著加入進(jìn)來的白帽黑客可以根據(jù)自己擅長的領(lǐng)域，選擇適合自己的實驗室進(jìn)更深層次的能力提升。同時，在告別單打獨斗之后，團(tuán)隊成員可以分工協(xié)作，從各個擅長的角度和技術(shù)手法來挖掘系統(tǒng)漏洞。

然而這些并不是真正吸引越來越多的頂尖安全人才加盟騰訊安全聯(lián)合實驗室的原因。騰訊安全聯(lián)合實驗室集約化培養(yǎng)頂尖安全人才的同時，依然尊重每一位白帽黑客的獨立和自由。他們可以隨時加入到騰訊安全為其提供的開放安全實驗室中，共享騰訊安全實驗室的各種資源，且沒有繁雜的考核指標(biāo)和任務(wù)。

“我們希望得到的是尊重，理解和認(rèn)可，希望更多的人知道我們有能力可以挖掘出很多安全漏洞，通過這些安全領(lǐng)域的研究成果能夠提升整個行業(yè)的業(yè)務(wù)安全水平。目前擔(dān)任騰訊安全科恩實驗室負(fù)責(zé)人的吳石表示，昔日靠單打獨斗來發(fā)現(xiàn)漏洞，通過專業(yè)的漏洞平臺來呼吁廠商改進(jìn)，但往往人微言薄，個人的力量有限，發(fā)現(xiàn)的漏洞也很難得到廠商第一時間的回復(fù)響應(yīng)和加固，導(dǎo)致有些漏洞后沒能被及時的修復(fù)。如今，依托于騰訊的各大安全平臺，發(fā)現(xiàn)漏洞到安全輸出的路徑變得更加直接。“白帽”黑客只要將自己的發(fā)現(xiàn)及時反饋，就可以將安全能力快速輸出，及時保障用戶的上網(wǎng)安全，而個人也能獲得更高的成就感。

從贊助網(wǎng)絡(luò)安全信息對抗聯(lián)賽發(fā)現(xiàn)提拔優(yōu)秀安全人才，到集約化管理頂尖安全人才并快速輸出技術(shù)研究成果。騰訊安全逐漸摸索出一套完善的人才梯度培養(yǎng)體系，不僅彌合了當(dāng)下信息安全人才市場供需不平等的鴻溝，也為共建安全新生態(tài)圈奠定了堅實的人才基礎(chǔ)，這無疑將進(jìn)一步增強用戶和企業(yè)對抗當(dāng)下愈加嚴(yán)峻的網(wǎng)絡(luò)安全形勢的信心。