這家公司用”眾包”來做更好的安全
俗語說,進(jìn)攻是最好的防御。在企業(yè)安全中,沒有比這句話更真實(shí)貼切的了。搶在黑客之前發(fā)現(xiàn)漏洞可以防止災(zāi)難性數(shù)據(jù)泄露,避免對(duì)公務(wù)業(yè)務(wù)和信譽(yù)產(chǎn)生重大打擊。
大多數(shù)企業(yè)都是采用如下兩種方式中的一種:其一,人工的,由人來測(cè)試潛在的弱點(diǎn);其二,自動(dòng)的,由漏洞掃描器濾出網(wǎng)絡(luò)中潛在的漏洞。但單獨(dú)使用這兩種方法都不能保證完全有效。
“當(dāng)今的漏洞解決方案有缺陷。有些是以人為中心,定點(diǎn)兒進(jìn)行滲透測(cè)試,受測(cè)試員自身技術(shù)水平和測(cè)試計(jì)劃時(shí)間線的限制較大。其他的則完全依賴于掃描器技術(shù),讓已經(jīng)很緊張的IT部門再被重報(bào)、誤報(bào)、不均衡的質(zhì)量水平和成千上萬需要人工審核的提交給淹沒,”Synack首席技術(shù)官馬克·庫爾表示。
Synack,一家前國(guó)家安全局的分析人員成立的公司,創(chuàng)始人兼現(xiàn)任首席執(zhí)行官是前國(guó)家安全局分析師杰·卡普蘭,他和庫爾采取了結(jié)合人機(jī)兩種方法優(yōu)勢(shì)的新途徑來解決這一問題:將漏洞評(píng)估眾包給Synack紅隊(duì)(SRT)和Hydra技術(shù)。
SRT是由全球獨(dú)立安全研究專家組成的團(tuán)隊(duì),利用他們的技術(shù)和專業(yè)知識(shí)以及尖端科技發(fā)現(xiàn)潛在脆弱點(diǎn)。Hydra技術(shù)則持續(xù)掃描客戶網(wǎng)絡(luò)漏洞并將威脅情報(bào)報(bào)告給內(nèi)部安全團(tuán)隊(duì)和SRT。
眾包安全
卡普蘭認(rèn)為,該創(chuàng)意在于眾包安全可以利用最佳思維、最佳技術(shù)和最佳實(shí)踐呈現(xiàn)關(guān)于潛在漏洞的客觀視圖并快速有效地修復(fù)它們。
SRT成員都是網(wǎng)絡(luò)安全業(yè)界精英,在加入SRT之前都要經(jīng)過廣泛細(xì)致的背景調(diào)查和篩選。篩選過程緊張而富挑戰(zhàn)性,候選人通過率僅有大約10%。SRT成員以自由職業(yè)者的方式工作,很多人的正職是其他IT公司的安全人員。他們的薪水按件支付,發(fā)現(xiàn)一個(gè)漏洞并為客戶修復(fù)便計(jì)入薪酬。
這就是眾包安全情報(bào)。這一模型下,客戶的資產(chǎn)能得到持續(xù)的安全覆蓋,客戶能得到自身安全態(tài)勢(shì)的多元化客觀認(rèn)知。我們討論的不是一兩個(gè)人而是由上百人組成的團(tuán)隊(duì)持續(xù)不斷地尋找威脅。Synack的私有“漏洞獎(jiǎng)勵(lì)”模型崇尚匿名性。出于保密義務(wù),Synack不公開其客戶名單,但卡普蘭稱,該公司每季度財(cái)富500強(qiáng)客戶增長(zhǎng)率超過300%。
“我們預(yù)期可能會(huì)有個(gè)‘客戶培育’和‘清除進(jìn)入壁壘’的過程,但卻發(fā)現(xiàn)即使是來自監(jiān)管最嚴(yán)格最保守行業(yè)的公司也在踴躍采納Synack。”
Hydra技術(shù)
當(dāng)然,即使有成百上千個(gè)專職的安全專業(yè)人士,要實(shí)時(shí)地對(duì)每一個(gè)可能的漏洞做出反應(yīng)也是不夠快的。網(wǎng)絡(luò)、軟件和應(yīng)用都太復(fù)雜了,黑客自然也是很聰明的,尤其是在大企業(yè)環(huán)境下這兩點(diǎn)特別突出。Synack將新技術(shù)Hydra結(jié)合SRT團(tuán)隊(duì)和客戶內(nèi)部安全,三者協(xié)同工作以加速大范圍的威脅識(shí)別過程并做到迅速修復(fù)。
Hydra的持續(xù)監(jiān)視功能被設(shè)計(jì)為與SRT測(cè)試過程的偵查階段無縫銜接,令他們可以在不影響質(zhì)量的情況下對(duì)大企業(yè)的所有資產(chǎn)進(jìn)行更快更深入的測(cè)試。這一對(duì)人力和機(jī)器的優(yōu)化組合是與企業(yè)每天面對(duì)的現(xiàn)實(shí)威脅進(jìn)行戰(zhàn)斗的獨(dú)特方法,戰(zhàn)略性地凸顯出“研究人員利用先進(jìn)的技術(shù)手段應(yīng)對(duì)資深黑客威脅”的一種解決方案。
Hydra平臺(tái)提供的三種功能——主機(jī)監(jiān)視、Web應(yīng)用分析和手機(jī)應(yīng)用分析,均將分階段推出。主機(jī)監(jiān)視功能已于上月向Synack客戶開放,Web和手機(jī)測(cè)試功能將于2016上半年推出。Hydra技術(shù)以SaaS方式提供,客戶沒必要安裝任何實(shí)體或虛擬的設(shè)備,不用部署任何軟件,也不用購買和維護(hù)任何硬件基礎(chǔ)設(shè)施。
“我們的客戶已經(jīng)見識(shí)到了擁有這些研究人員為他們工作的價(jià)值,但我們開始對(duì)怎樣有效將此服務(wù)推向復(fù)雜龐大的企業(yè)群體并保持SRT的富有成效發(fā)出了疑問。有了Hydra,我們就既可以利用人類經(jīng)驗(yàn)和技術(shù)的深度和廣度,又可以依賴機(jī)器執(zhí)行重復(fù)性任務(wù),讓安全工作開展得快速有效。”
Synack關(guān)鍵詞
1. 安全眾包平臺(tái)
同時(shí)提供“安全即服務(wù)”(SECaaS)產(chǎn)品,企業(yè)只需要支付一定月費(fèi),就能享受持續(xù)的安全情報(bào)服務(wù),對(duì)接企業(yè)和全球范圍的白帽,幫助企業(yè)解決安全問題。
2. 漏洞獎(jiǎng)勵(lì)
Synack還運(yùn)營(yíng)著一個(gè)高水準(zhǔn)的企業(yè)漏洞獎(jiǎng)金計(jì)劃,與全球頂尖安全專家和白帽子簽署合同,為發(fā)現(xiàn)漏洞的簽約專家支付漏洞獎(jiǎng)金。
3. 融資
Synack今年2月完成2500萬美元融資。
