|
前言:我个人认为未来白帽这个群体的价值只会不断的增大,因为他们的存在,所以可以说明众测在未来确实是一种性价比极高的解决方案。——漏洞银行罗清篮
今年足以称得上是网络安全行业发展举足轻重的一年,先有世纪佳缘袁炜案的影响,再有消息不断放出说国家正在出台相应的政策。网络安全行业此起彼伏的大事件将“白帽子”推上了风口浪尖,原本小众的群体在极短的时间内占据了大众的视线,成为了网络安全行业最先品尝到变革阵痛的一群人。 面对此种现实,罗清篮和漏洞银行创造性地提出“联合诊断”的理念,悍然在舆论的中心为白帽子开辟出一条通向未来的道路。 优秀的舶来品:众测
安全众测是基于众包概念提出的安全测试模式,即让白帽子参与企业的安全测试。最早起源于美国,目前已经十分成熟。HackerOne(美国的众测平台)在前几个月刚刚与五角大楼举办了一场1400名白帽子参与的攻陷五角大楼活动 (Hack the Pentagon),只花了15万美元左右的奖金,就帮助五角大楼发现了1189个薄弱环节和138个高危漏洞。低投入和高收益无疑是安全众测最为引人注目的优势。 五角大楼的官方发言人国防部长阿什顿·卡特曾表示,安全众测比雇佣承包商来做好得多,也比出事后再发现好得多。如果按照通常做法,五角大楼雇佣承包商的花费将超过100万美元。 据此罗清篮断言:未来白帽这个群体的价值只会不断的增大,因为他们的存在,所以可以说明众测在未来确实是一种性价比极高的解决方案。 国内:水土不服的模式 然而,“众测”这个在美国运行良好的检测模式,在中国市场却陷入了水土不服的状况。究其原因,是现在安全行业对白帽是否有权进入未测试授权的系统存在争议。同时中国企业担心,个别白帽在进行测试时夹带“私货”——对发现的漏洞有所隐瞒,以期更大的收益。 罗清篮认为,企业之所以存在这样的顾虑,最核心的问题在于企业对白帽行为缺乏辨识能力。企业没有能力去辨别白帽在测试过程中到底做了什么,白帽的行为对他们来说是未知的。这种未知直接导致企业认定白帽群体是有害的。 曙光:“联合诊断”的提出
为打消企业的顾虑,在漏洞银行推出的众测模式里,罗清篮创造性地构建出“联合诊断”的众测模式。 罗清篮说:不同于传统的企业——白帽双边对接的众测模式,“联合诊断”模式引入了安全专家这一方。 漏洞银行在企业发起众测的时候,不是单纯让白帽进行测试,白帽需要把自己的IP或设备指纹在漏洞银行数据库进行备案,企业可以把自己的日志提交给漏洞银行专家方进行审计,这样白帽所有的行为都被诚实记录。把安全专家引入后,白帽的行为得到了有效的辨识,也就意味着企业、白帽、安全专家三位一体的共同督促。 这种概念的提出,是漏洞银行团队在开展企业服务的过程中,慢慢总结出来的经验。类似这种技术其实还有很多,漏洞银行希望在一些技术手段的努力下,能够让白帽这个群体重新站在阳光下,也让更多的企业真正意识到众测的价值。 尽管众测模式在国内才刚刚起步,但罗清篮和漏洞银行相信,随着互联网安全的崛起,白帽这个群体将逐渐被大众认可和接受。漏洞银行将永远行走在为企业和白帽创造价值的道路上,为网络安全行业的发展奋斗终生。 |
