安全眾測的四個大坑
安全眾測或者說安全眾包已經(jīng)不是新鮮事物,自從2013年主要的安全眾測平臺(例如HackerOne、Bugcrowd和Synack)推出以來,就作為一種消耗性企業(yè)安全服務(wù)存在。這些平臺逐漸挑戰(zhàn)傳統(tǒng)的滲透測試方法,并開始蠶食其市場份額。此后7年間,涌現(xiàn)了更多的安全眾測平臺和競爭對手,爭奪這一不斷增長的市場。
但是,眾包安全真的是解決傳統(tǒng)安全滲透測試弊病的靈丹妙藥嗎?是否會引發(fā)更多問題?在解答上述問題之前,讓我們簡單回顧一下傳統(tǒng)滲透測試實(shí)際存在的問題。
持續(xù)開發(fā)與交付:膠片相機(jī)拍不了視頻
傳統(tǒng)的滲透測試服務(wù)的周期往往較長,類似汽車的年檢,顯然與當(dāng)今的企業(yè)敏捷應(yīng)用開發(fā)和網(wǎng)絡(luò)安全威脅發(fā)展速度并不匹配。許多企業(yè)每周、每天或以連續(xù)交付方法進(jìn)行應(yīng)用部署,不斷更改其環(huán)境和應(yīng)用程序,因此會持續(xù)引入漏洞、配置和違規(guī)問題(甚至淘寶近日出現(xiàn)的測試包彈窗重大產(chǎn)品事故也可歸入此類)。
在這種數(shù)字化、敏捷化環(huán)境下執(zhí)行的滲透測試,只能在特定時(shí)間點(diǎn)生成安全態(tài)勢的快照(滲透測試的公認(rèn)定義)。算上起草報(bào)告,進(jìn)行質(zhì)量檢查并交付給客戶所需的時(shí)間(通常是數(shù)周),正式測試報(bào)告生成的同時(shí)就已經(jīng)過時(shí)了,因?yàn)樵诖似陂g客戶環(huán)境已經(jīng)發(fā)生了多次變化,不再代表最初測試的內(nèi)容。
時(shí)間限制:蘿卜快了不洗泥
那些價(jià)值連城的或者威力驚人的漏洞的發(fā)現(xiàn),往往是一門藝術(shù),是大師級作品,但是傳統(tǒng)滲透測試服務(wù)會有商業(yè)上的諸多限制,其中最顯著的就是交付時(shí)間限制。滲透測試項(xiàng)目留給測試人員的時(shí)間往往非常緊張。一個網(wǎng)站的滲透測試項(xiàng)目往往只有5天時(shí)間,其中一天還要用來撰寫報(bào)告,這意味著滲透測試人員沒有太多時(shí)間深入研究探索web應(yīng)用的每個角落,經(jīng)常需要根據(jù)項(xiàng)目周期做出取舍,忽略很多耗費(fèi)時(shí)間的問題。
技能錯位:肛腸科的眼科大夫
安全人士的技能之間存在差異和錯位,滲透測試人員也不例外。有些人比較擅長測試移動應(yīng)用程序,有些比較擅長測試API安全性和Web應(yīng)用程序,在人才緊缺的現(xiàn)實(shí)中,往往會出現(xiàn)本段標(biāo)題描述的情況。而且,由于網(wǎng)絡(luò)安全技術(shù)是如此的多樣化,即使在細(xì)分的專業(yè)滲透測試人員中,技能方面的差異依然不小,您經(jīng)常會遇到兩個不同的滲透測試人員測試同一應(yīng)用程序并發(fā)現(xiàn)不同漏洞的問題。考慮到如今招聘熟練安全技術(shù)人員異常困難,企業(yè)在克服技能錯位方面沒有太多籌碼。解決此問題的一種戰(zhàn)術(shù)解決方案是每年“輪換”滲透測試供應(yīng)商,但是,由于滲透測試的人才庫如此之小,即使你更換滲透測試供應(yīng)商,最終給你做測試的也很有可能是同一個人。
滲透測試綜合征:比風(fēng)險(xiǎn)更大的是垃圾風(fēng)險(xiǎn)
所謂滲透測試綜合癥有些類似“賣拐”,會讓企業(yè)安全狀況看起來比實(shí)際情況更糟糕。滲透報(bào)告的一種常見做法是討論發(fā)現(xiàn)的問題,尤其是在找不到關(guān)鍵問題的情況下。一些雞毛蒜皮的安全問題被夸大標(biāo)注成“中度”甚至“嚴(yán)重”問題,最后滲透測試報(bào)告變成了“垃圾風(fēng)險(xiǎn)”報(bào)告,誤導(dǎo)或者浪費(fèi)企業(yè)的安全資源,而不是提升企業(yè)的安全能力。
商業(yè)模式:一把昂貴的錘子
最后,傳統(tǒng)滲透測試在業(yè)務(wù)模型上有一個重大缺點(diǎn):企業(yè)需要養(yǎng)一個全職滲透測試人員,而且你還必須支付給他們具有競爭力的薪水(如果你可以給出沒有競爭力的薪水而這個人卻沒有離開,說明你的錢白花了),此外企業(yè)還需要撥出專項(xiàng)預(yù)算,包括滲透測試所有設(shè)備和應(yīng)用的許可證(例如Burpsuite Pro許可證等),并為滲透測試人員提供必要的技能培訓(xùn),慷慨資助他們?nèi)⒓痈鞣N安全會議提高技能和興奮度,這對于企業(yè)來說無疑是一筆不小的開支和負(fù)擔(dān)。
安全眾測如何解決這些問題?
安全眾包/眾測采用一種靈活的、開放性的滲透測試業(yè)務(wù)模型來解決上述問題。企業(yè)不需要供養(yǎng)專門的測試人員,取而代之的是一群“自愿”安全研究人員注冊并嘗試發(fā)現(xiàn)企業(yè)資產(chǎn)中的漏洞,按件計(jì)酬。如果他們什么也沒找到,企業(yè)就不必支付任何報(bào)酬。
安全眾測解決的第一個問題是滲透測試的“時(shí)間限制”。對于滲透測試人員來說不再只有5天的時(shí)間來鉆研一個應(yīng)用程序,眾包的滲透測試通常是無明確時(shí)間限制的,這意味著您可以花數(shù)周甚至數(shù)月的時(shí)間來尋找難以捉摸的關(guān)鍵漏洞,而且效果顯著。
據(jù)一位成功的眾包滲透測試人士介紹,經(jīng)過數(shù)周的漏洞搜尋,他在一家市值數(shù)十億美元的納斯達(dá)克上市公司中發(fā)現(xiàn)了一個嚴(yán)重漏洞,可導(dǎo)致超過1億個客戶詳細(xì)信息泄露。由于漏洞的復(fù)雜性,沒有任何一個傳統(tǒng)滲透測試專家有時(shí)間對其進(jìn)行深入調(diào)查(他們過去依靠傳統(tǒng)的滲透測試卻并未發(fā)現(xiàn)此漏洞證明了這一點(diǎn))。
此外,滲透測試的這種開放式方法也可以解決前文提到的有關(guān)連續(xù)交付和時(shí)間點(diǎn)測試的第二個問題。眾包安全能夠?yàn)槌掷m(xù)變化的基礎(chǔ)結(jié)構(gòu)提供持續(xù)不斷的滲透測試(前提是你的資產(chǎn)能夠吸引足夠多的安全人員“入池”)。
這里引出了第三個問題:技能和商業(yè)模式。眾包安全平臺最大的商業(yè)模式優(yōu)勢就是沒有全職員工。加盟的滲透測試自由職業(yè)者自備干糧,平臺無需支付薪水,甚至不需要支付設(shè)備材料費(fèi)。為了彌補(bǔ)技能短缺問題,他們只需為特定項(xiàng)目匹配更多自由滲透測試人員,安全問題的解決效率最終變成了注意力經(jīng)濟(jì)游戲,類似淘寶的直通車,只要舍得砸錢,項(xiàng)目人氣越高,發(fā)現(xiàn)和解決的問題也越多,越快。不信你看看特斯拉。
最后,安全眾包通過結(jié)果驅(qū)動的激勵機(jī)制解決了滲透測試綜合征問題。如果您提交的問題并不是真正的漏洞,并且沒有提供概念證明,則將被忽略。更糟糕的是,你將因?yàn)槔速M(fèi)客戶時(shí)間而被扣除積分甚至被平臺開除,因此,在安全眾包平臺上,滲透測試人員提交的更多是可利用漏洞,而不是充斥“垃圾風(fēng)險(xiǎn)”的報(bào)告。
安全眾測的四個“大坑”
雖然安全眾測解決了傳統(tǒng)滲透測試的諸多弊端,但是企業(yè)應(yīng)當(dāng)清醒地認(rèn)識到,安全眾包不是萬能神油,甚至不是滲透測試的替代方案。
今天的安全眾測仍然存在許多問題,其中一些與商業(yè)模式基因有關(guān)的先天問題尤為棘手:
1. 內(nèi)部與外部測試
安全眾測不適合那些需要在公司內(nèi)部進(jìn)行的測試。在常規(guī)滲透測試中,一名安全顧問親自來到企業(yè)客戶的辦公室,將筆記本電腦接入企業(yè)即可開始測試。在眾測的情況下,這是不可能的,因?yàn)楸姕y需要設(shè)置復(fù)雜的VPN和/或代理混合設(shè)置,并且網(wǎng)絡(luò)必須能夠維持?jǐn)?shù)十個(甚至數(shù)百個)并發(fā)的測試負(fù)載。這就是到目前為止,大多數(shù)安全眾測業(yè)務(wù)都集中在Web安全領(lǐng)域的原因,因?yàn)閣eb應(yīng)用安全測試可以從任何地方發(fā)起,訪問成本和復(fù)雜性都相對較低。
對于物聯(lián)網(wǎng)和智能硬件設(shè)備,安全眾測意味著廠商需要向每個測試人員都提供一個產(chǎn)品(例如智能跑步機(jī)),這可能會是一筆不小的開支,而且,如果測試人員遍布全球,測試成本還將繼續(xù)飆升。
2. 資源池有限
在如今全球性的安全人才荒中,進(jìn)攻性安全領(lǐng)域也遭受著技能短缺的困擾。安全眾測雖然理論上可以利用全球的安全人才資源庫,但實(shí)際運(yùn)行中資源庫也是有局限的。
如果你能抽空調(diào)查一下目前市場上幾個主流的安全眾測平臺,就會發(fā)現(xiàn)一個“驚喜”——賞金榜單幾乎讓一小撮高手給霸占了。
雖然安全眾測平臺的營銷宣傳資料會鼓吹坐擁全球數(shù)千名頂級安全專家,但骨感的現(xiàn)實(shí)是,如今平臺上發(fā)現(xiàn)的大多數(shù)漏洞都被一個不超過二十名研究人員小圈子給壟斷了。這就產(chǎn)生了資源問題,安全眾測公司需要持續(xù)增長,因此需要更多的客戶,發(fā)布更多的測試項(xiàng)目,而眾包公司也需要不斷增長的風(fēng)險(xiǎn)投資。平臺越大,測試需求越多,就需要更多的滲透測試人員,但遺憾的是,滲透測試人力市場已經(jīng)是個飽和存量市場,所有能上場的選手都已經(jīng)在場上了。你無法強(qiáng)迫更多自由職業(yè)者去參加你的測試項(xiàng)目,因?yàn)閰⑴c的人太多帶寬已經(jīng)不夠用了。
3. 眾包滲透測試的成本
盡管安全眾測公司將成本作為一個賣點(diǎn),但從任何角度來衡量,眾包滲透測試都談不上便宜。今天,外部網(wǎng)站的滲透測試服務(wù)費(fèi)用是項(xiàng)目天數(shù)乘以顧問的每日費(fèi)用。
讓我們以每日顧問費(fèi)1200美元,為期五天的傳統(tǒng)網(wǎng)站滲透測試項(xiàng)目為例,你需要支付的總費(fèi)用約6000美元。但是如果你選擇安全眾測,最終需要支付的平臺費(fèi)用可能會是該費(fèi)用的很多倍。除此之外,您還必須為發(fā)現(xiàn)的每個漏洞付出獎勵,因此,發(fā)現(xiàn)的漏洞越多,您付出去的錢就越多,這意味著您的成本很快就會失控。
這里有一個“成本可控”的特例需要注意:Synack(安全眾測平臺之一)只收取平臺費(fèi),所有漏洞獎勵支出都由平臺負(fù)擔(dān)。但由于進(jìn)入門檻很高,這種模式隔離掉了大多數(shù)中小企業(yè)。
目前,聯(lián)邦制是中小型企業(yè)的唯一選擇。聯(lián)邦制的平臺成本和漏洞獎勵支出更低,雖然甲方企業(yè)會開心,但是更少的收入對研究人員(尤其是高水平研究人員)的吸引力也會隨之下降。
4. 共享黑客經(jīng)濟(jì)?
雖然共享經(jīng)濟(jì)這個詞被用爛了,但是安全眾測本質(zhì)上確實(shí)是共享經(jīng)濟(jì),你可以稱之為威客經(jīng)濟(jì)或者溯源其英文名稱——Gig Economy。人們很容易聯(lián)想到一些大眾耳熟能詳?shù)墓蚕斫?jīng)濟(jì)例如Uber和Airbnb之類,共同特點(diǎn)都是系統(tǒng)性地(甚至是更加殘酷地)剝削那些放棄了傳統(tǒng)福利和保障(例如退休金和病假工資)的自由職業(yè)者。
但是,有一個關(guān)鍵的區(qū)別:共享經(jīng)濟(jì)中的平臺,例如共享出租司機(jī),實(shí)際上是小時(shí)工,只要提供服務(wù)就可以獲得與工作時(shí)長匹配的收入。但從事眾包滲透測試的安全研究人員,他們就像非洲草原上的獵豹,無論多么幸苦,如果沒有發(fā)現(xiàn)漏洞也將“顆粒無收”。事實(shí)上,大多數(shù)滲透測試人員一天甚至數(shù)天都發(fā)現(xiàn)不了一個漏洞,而且他們沒有養(yǎng)老金。
不僅如此,參與安全眾測,你還需要自費(fèi)購買所有工具,例如一部越獄的iPhone、一臺專門安裝Kali Linux的便攜電腦、一個Burp Suite Pro軟件許可證等等。對于眾包的安全公司而言,這確實(shí)可以節(jié)省大量成本,因?yàn)樗鼈?ldquo;有效”解決了滲透測試服務(wù)公司所苦苦掙扎的商業(yè)模式問題,但副作用是對專業(yè)勞動力的嚴(yán)酷盤剝。
總結(jié)
最后,讓我們說句公道話,盡管傳統(tǒng)滲透測試和安全眾測各自存在很多問題,但這兩種方法確實(shí)存在互補(bǔ)性。沒有一種可以解決所有問題的進(jìn)攻性安全測試“快餐”解決方案,在今天這個安全態(tài)勢和威脅異常嚴(yán)峻的大環(huán)境中,每位企業(yè)CISO都應(yīng)當(dāng)意識到,最佳實(shí)踐和方法是自身摸索出來的,不是(用錢)砸出來的。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
