三談企業(yè)漏洞收集平臺(tái)建設(shè)
寫《淺談企業(yè)漏洞收集平臺(tái)建設(shè)》時(shí)候就想要找黑鍋審一下,因?yàn)閾?dān)心我對(duì)黑鍋觀點(diǎn)的理解不夠透徹,畢竟技術(shù)水平差距在那邊,理解不到位也很正常。結(jié)果那天晚上寫完一下就發(fā)了。今天黑鍋看完以后表示我還是沒有理解清楚有偏差,于是大筆一揮來一篇《再談企業(yè)漏洞收集平臺(tái)建設(shè)》。晚上到家才看見,迅速讀完以后感覺松了一口氣。應(yīng)該說黑鍋還是認(rèn)可我的觀點(diǎn)的。可是為什么還要寫這篇三談:
一方面對(duì)建設(shè)平臺(tái)的理念需要補(bǔ)充闡述,另外一個(gè)方面是因?yàn)槲以趯憽稖\談企業(yè)漏洞收集平臺(tái)建設(shè)》,由于一些慣性思維的原因,導(dǎo)致一些關(guān)鍵的地方都沒有交代清楚,引起一些不必要的誤會(huì),所以需要這篇文章來彌補(bǔ)。
首先要明確也是要強(qiáng)調(diào)的一點(diǎn),尊重白帽子這個(gè)要素,這也是在建設(shè)企業(yè)漏洞收集平臺(tái)前就必須明確的。企業(yè)漏洞收集平臺(tái)是甲方和白帽子的交互平臺(tái),也就是說參與到這個(gè)平臺(tái)的白帽子是認(rèn)可企業(yè)和得到企業(yè)的認(rèn)可的,應(yīng)該受到尊重,尊重不僅僅是通過獎(jiǎng)勵(lì)來體現(xiàn),還有在對(duì)白帽子提交的漏洞的重視,在白帽子的深入溝通上等等。可以說白帽子對(duì)平臺(tái)的認(rèn)可是最寶貴的財(cái)富沒有之一。綜合這些方面,騰訊的TSRC無疑是走在了其他平臺(tái)的前面,很多建設(shè)和運(yùn)營(yíng)經(jīng)驗(yàn)成果都值得其他平臺(tái)借鑒和學(xué)習(xí)的。例如平臺(tái)人員和白帽子一對(duì)一的漏洞跟蹤,邀請(qǐng)白帽子參與漏洞爭(zhēng)議裁決,還有最重要的是平臺(tái)運(yùn)營(yíng)的態(tài)度是端正的,只要這個(gè)能保持下去平臺(tái)就會(huì)有更好的發(fā)展,我每次找lake2的時(shí)候,他都很認(rèn)真的聽我的建議,而且落實(shí)去做,這個(gè)讓我很感動(dòng)。這些寶貴的經(jīng)驗(yàn)也是其他平臺(tái)所要學(xué)習(xí)的,任何一個(gè)漏洞平臺(tái)如果離開了白帽子的支持,就算平臺(tái)開發(fā)做的再好,有再多的資金支持也不可能運(yùn)轉(zhuǎn)下去,對(duì)企業(yè)安全產(chǎn)生幫助。
其次要說的還是平臺(tái)建設(shè)上的人治和法治問題,這個(gè)話題在淺談還是再談里面都已經(jīng)有很多說明了。這里就簡(jiǎn)單作出一些總結(jié),首先運(yùn)營(yíng)人員的技術(shù)水平是必須提高的,當(dāng)然這個(gè)技術(shù)水平不僅僅是安全技術(shù),還有對(duì)安全的理解,企業(yè)漏洞的深入認(rèn)識(shí),當(dāng)然還有最重要的溝通能力,但是需要企業(yè)會(huì)綜合人員工作分配還有人員成長(zhǎng)上問題考慮,不能保證人員的穩(wěn)定。所以為了適應(yīng)人員的變動(dòng),還是需要有足夠的規(guī)范條例,通過規(guī)范條例來解決通用性的問題,當(dāng)然沒有條例規(guī)范是完美和絕對(duì)適用的,必須再用人工來輔以修正。這也是黑鍋所說的“應(yīng)該把以上的一些因素的權(quán)重來實(shí)現(xiàn)一個(gè)修正的評(píng)分模式”。我的觀點(diǎn)是,雖然法治和人治是沖突的,但是在運(yùn)營(yíng)中盡量以法治為準(zhǔn),人治輔助,對(duì)于出現(xiàn)啟動(dòng)人工判定時(shí)候,需要檢查條例和規(guī)范是否合理。整個(gè)運(yùn)營(yíng)趨勢(shì)應(yīng)該是無限趨近規(guī)范處理,人工干預(yù)降低到最低。
最后想說的是漏洞收集平臺(tái)獲得的漏洞對(duì)企業(yè)來說是一筆巨大的財(cái)富,黑鍋語“當(dāng)這樣平臺(tái)的運(yùn)營(yíng)人員是幸福的,就像一個(gè)圖書館(圖書館的威力,你們都懂的!)”,在沙龍開始前幾天,我雖然知道不可能,但還是向lake2提出,想獲得一個(gè)進(jìn)這個(gè)圖書館看看的機(jī)會(huì),最后被lake2拒絕了。當(dāng)然開放這個(gè)圖書館還有很多的路需要去走,我們期待這一天能早日到來。在企業(yè)內(nèi)部,應(yīng)該能認(rèn)真分析一個(gè)漏洞,從成因,到發(fā)現(xiàn)方法,到可能造成的損失,從每個(gè)漏洞里面都學(xué)到足夠的價(jià)值,才是我們建設(shè)企業(yè)漏洞收集平臺(tái)的最終目的。
結(jié)束前還是想用一些篇幅寫一點(diǎn)關(guān)于甲方企業(yè)安全工作的問題,因?yàn)榭粗耙黄恼铝粞岳镉泻芏嗯笥烟崃艘恍┛捶ǎ乙部匆妉ake2在留言里有回復(fù),我作為一個(gè)多個(gè)甲方企業(yè)工作過的安全人也想在這里簡(jiǎn)單說一些酸甜苦辣吧。從外部看甲方企業(yè)安全工作者的確存在很多問題,比如對(duì)漏洞研究較淺,各種奇怪的工作分配。這些問題說起來也很簡(jiǎn)單,就是由企業(yè)性質(zhì)決定的,因?yàn)槠髽I(yè)不是靠安全來賺錢,用這個(gè)最簡(jiǎn)單的理由就可以把安全人員踢到最邊緣的位置上,有個(gè)不恰當(dāng)?shù)谋扔鳎翰皇Щ饡r(shí)候誰也不愿意看到消防隊(duì)而失火以后又埋怨為什么有消防隊(duì)還失火。
這個(gè)情況雖然殘酷,但確實(shí)很多甲方安全工作者真實(shí)情況。這些年因?yàn)槌掷m(xù)不斷的安全事件教育和信息安全被重視,才讓安全工作成為必備的崗位,得到認(rèn)可,是多么的不容易。而騰訊能率先開啟企業(yè)收集平臺(tái)則顯得更加難能可貴,這也是為啥我在《騰訊安全沙龍參后感》里面寫能成立這個(gè)平臺(tái),并且能做成這樣是多么的不容易,我們向安全的先行者—TSRC致敬。應(yīng)該說再有幾年發(fā)展,甲方安全人員應(yīng)該能擺脫技術(shù)落后的帽子,真正向乙方安全人員看齊。
