堅持公益,這家漏洞平臺合眾白帽之力守衛(wèi)互聯(lián)網(wǎng)安全
原創(chuàng)【51CTO.com原創(chuàng)稿件】俗語有云:“單絲不成線,獨木不成林”。
三國時代東吳之主孫權(quán)曾說:“能用眾力,則無敵于天下矣;能用眾智,則無畏于圣人矣。”
“眾”的氣力,遠弘遠于個體。能用“眾力”者必能窮致“眾智”,能用“眾智”者必能發(fā)揮“眾力”,故其力無敵于天下,其智勝過所謂大賢大智的圣人。孫權(quán)之所以能屢次重創(chuàng)來犯之?dāng)常⒎且蚱淠苷魃茟?zhàn)、謀略出眾,而是由于他會用“眾力”、“眾智”。
互聯(lián)網(wǎng)時代,安全威脅層出不窮,如何保障自身的安全是每個企業(yè)都關(guān)心的問題,也是工作的重中之重。但是由于世界上沒有100%安全的業(yè)務(wù)系統(tǒng),大部分的安全隱患都是由企業(yè)本身的安全漏洞而起。即便是那些看起來最沒法攻破的碉堡。
為了幫助企業(yè)發(fā)現(xiàn)這些安全漏洞,提升企業(yè)的安全。近兩年來,國內(nèi)匯集白帽之力發(fā)掘漏洞的漏洞檢測和響應(yīng)平臺不斷興起。例如:補天、先知、漏洞盒子、SOBUG,以及企業(yè)自建的安全應(yīng)急響應(yīng)中心(簡稱:SRC)等平臺。通過這些平臺,來自全國各地的白帽子都可以將最新發(fā)現(xiàn)的漏洞盡快通知到企業(yè)。
近日,記者走訪了補天漏洞平臺負責(zé)人白健,對這家匯聚眾多白帽的國內(nèi)最大的漏洞檢測和響應(yīng)平臺進行了深入了解。下面,讓我們一起來看看該平臺是如何合眾白帽之力守衛(wèi)互聯(lián)網(wǎng)安全的。
補天漏洞平臺負責(zé)人白健
企業(yè)安全防御需合多方之力
目前,國內(nèi)很多的企業(yè)在安全方面的投入往往不夠,安全基礎(chǔ)薄弱,而且在安全人才方面普遍匱乏。通常為了追求效率,采用開源軟件進行短時研發(fā),但這往往忽視了安全問題,尤其是中小型企業(yè)。
白健在接受記者采訪時表示,盡管安全人員采取各種手段加強安全防護,但是仍不可避免的遭受零日漏洞威脅。這種漏洞一旦被發(fā)現(xiàn)并公開后,將會立即被惡意利用,其傳播速度非常快。為了避免造成更大的危害,白健建議企業(yè)從以下三方面做起:一是,企業(yè)響應(yīng)要快,進行快速的處理。比如立即升級,在攻擊危害很大時,可以采取關(guān)閉網(wǎng)絡(luò)阻斷攻擊。二是,政府作為監(jiān)管方要足夠重視零日漏洞威脅,要引導(dǎo)規(guī)范,制定法規(guī),阻止零日漏洞POC的廣泛傳播。三是,作為安全廠商,要及時通知企業(yè),并給出解決方案。
堅持公益 合眾白帽之力守衛(wèi)互聯(lián)網(wǎng)安全
作為國內(nèi)知名的安全廠商,360旗下的補天漏洞平臺,從漏洞的檢測與響應(yīng)出發(fā),幫助企業(yè)提升安全防范能力。該平臺是360企業(yè)安全集團旗下的一支安全研究團隊,也是國內(nèi)首個現(xiàn)金獎勵漏洞平臺。據(jù)白健介紹,補天是一個不以盈利為目的的平臺,其核心工作主要包含兩方面:一是做公有SRC,通過眾多的白帽收集漏洞,然后免費通知企業(yè)做響應(yīng),平臺補貼相關(guān)成本。二是給沒有力量建立SRC的傳統(tǒng)企業(yè)以及中小企業(yè),在補天的平臺上建立他們自己專屬的SRC,企業(yè)只需要在平臺上注冊,簽署相關(guān)服務(wù)協(xié)議,授權(quán)白帽子進行測試即可,補天幫助企業(yè)運營,托管白帽子獎金發(fā)放,平臺不收取任何費用。
目前,補天平臺擁有3萬多名白帽子,已發(fā)現(xiàn)的漏洞總數(shù)20多萬,發(fā)放獎金近900萬,還有很多實物禮品和積分。平臺上實際注冊企業(yè)達4200多家,漏洞涉及企業(yè)2萬多家企業(yè)。
什么樣的白帽子才能入駐補天漏洞平臺?
首先,你得是一名真正的白帽子。所謂白帽子,通俗的描述是正面黑客,他可以識別計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,但并不會惡意去利用,而是報告其漏洞,當(dāng)然不是冒然的公之于大眾面前,而是告知企業(yè)。這樣,企業(yè)將可以在被攻擊者利用之前來修補系統(tǒng)漏洞。
白帽子想要入駐補天漏洞平臺,只要登錄網(wǎng)站自行填寫相關(guān)信息注冊即可,白帽在平臺上的身份信息是透明的。白健表示,白帽子都是一群充滿正義感的人。目前平臺上的白帽學(xué)生占比很多,約為30%-40%,主要以大學(xué)生為主,其中大專畢業(yè)的相對較多。這些白帽子有很多是非計算機科班出身,純粹出于自身愛好。他們最大的共同點就是逆向思維強,崇尚自由與個性。他們考慮事情的角度多樣化,發(fā)現(xiàn)的漏洞的方式各不相同,當(dāng)他們聚集到補天這個平臺,彼此也成為志同道合的朋友。此外,不少企業(yè)招聘的學(xué)歷門檻高,而很多優(yōu)秀的白帽達不到這個門檻,現(xiàn)在企業(yè)只需要通過平臺發(fā)布項目,白帽子領(lǐng)任務(wù),達到雙方的共贏。
成為補天平臺的白帽之后即可提交漏洞,根據(jù)漏洞發(fā)現(xiàn)的難易、漏洞可能造成的危害程度獲得一定的積分和獎勵。等白帽子能力和信譽排名積累到一定程度,就可以通過補天平臺領(lǐng)取懸賞任務(wù),完成任務(wù)即可獲得企業(yè)提供的更多現(xiàn)金獎勵。
補天將白帽分為普通白帽和精英白帽。因為有的企業(yè)要求較高,必須必備一定的技能和信譽才能完成任務(wù)。在得到企業(yè)的授權(quán)后,平臺會為其量身挑選30-50名經(jīng)驗豐富的精英白帽,對該企業(yè)進行專業(yè)的漏洞檢測。此外,參與“眾測”的這些精英白帽均完成實名認證并簽署保密協(xié)議,通過VPN安全接入,結(jié)合平臺獨有的網(wǎng)絡(luò)流量記錄和分析產(chǎn)品進行監(jiān)測,平臺全程監(jiān)控白帽子操作行為,保證測試過程安全可控。檢測結(jié)束,平臺提供專業(yè)詳實的修復(fù)方案,讓企業(yè)快速排除漏洞安全隱患,迅速提升安全防護能力。
白健表示,補天積極引導(dǎo)白帽正向發(fā)展,引導(dǎo)白帽用自己的力量為社會做貢獻,同時打消外界對他們的誤解。為了提升白帽的正義感和榮譽感,除了對于白帽的正向引導(dǎo)和獎金禮品鼓勵外,補天定期在白帽集中區(qū)域舉辦沙龍活動,在肯定優(yōu)秀白帽能力和突出貢獻的同時,也特別邀請知名律師開設(shè)法律講堂,普及法律知識,并邀請資深安全專家,幫助白帽做好職業(yè)規(guī)劃,這也是補天的社會價值所在。
補天白帽大會召開在即
為了建立更高效有效的溝通橋梁,補天漏洞檢測與響應(yīng)平臺主辦的補天白帽大會將于3月30日在深圳召開。屆時,美國知名白帽平臺HackerOne以及Defcon黑客大會的defcon group也將參會并分享精彩議題,廣泛傳播黑客文化,弘揚黑客精神。來自通報中心、Cncert、國測等政府部門領(lǐng)導(dǎo)也將出席致辭,超過百位中外白帽子、百余家企業(yè)代表共聚一堂,大會旨在解讀當(dāng)前網(wǎng)絡(luò)安全形勢和安全威脅,探討漏洞響應(yīng)與防范措施,建立企業(yè)與白帽子協(xié)同機制,全方位解決全社會網(wǎng)絡(luò)安全隱患。大會現(xiàn)場各地白帽將會擦出怎樣的火花,讓我們拭目以待!
【51CTO原創(chuàng)稿件,合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】
