隨著各行業數字化、智能化轉型的深入推進,云計算、大數據、人工智能在各行業領域的深入應用,但伴隨著業務不斷云化過程中,面對日益措施復雜的業務場景,安全威脅也逐步業務化,以傳統的安全服務模式來解決新型安全威脅將變得越發吃力,同時也無法滿足當前日益嚴峻的安全現狀,因此急需一種可控的服務解決方案對現有能力進行補充。在這樣的一個背景下,眾安天下正式發布新一代SaaS安全服務平臺——AllSec安全服務平臺。

因疫情原因,今年遠程辦公及各類遠程服務得以高速發展,傳統的線下組織模式受到嚴重影響,傳統的線下安全服務模式由于嚴重受限于人力資源及環境條件的局限性,無法滿足線上業務的常態化安全工作,而互聯網安全服務模式的核心優勢由此凸顯,能在滿足短時間內快速響應及攻防滲透、安全檢查任務等系列場景下眾多企業的核心安全訴求。

伴隨著網絡安全眾測行業標準的正式運行,可以看到眾測這種互聯網安全服務模式在各行業領域的價值認可。相比傳統服務模式,互聯網眾測競測機制打破了在時間、地域、服務方式等限制,同時也一定程度了降低了企業成本。

相信在未來,以互聯網安全眾包服務模式為代表的“遠程安全問診”模式隨著網絡安全眾測標準的逐步推廣應用,將會成為新一代的網絡安全服務運營模式。眾安天下也希望在網絡安全眾測國標及行業標準的指引要求下,完成運營建設工作,更合規的提供高質有效的安全服務。

目前,國內眾測業務市場份額對比國外的互聯網眾測平臺仍然存在較大差距,眾安天下認為,安全眾測模式在國內發展主要的核心壁壘為四個方面:

1、合規授權機制是否完備,參與項目實施及平臺安全認證機制是否可靠。

2、服務過程中是否可控,服務過程中是否違規,是否按照平臺規則執行。

3、安全眾測管理機制是否有效,傳統松散的合作模式存在部分管理盲區。

4、安全眾測市場成熟度偏早期,持續付費能力及客單價偏低。

針對以上幾個典型的痛點,眾安天下團隊經過幾年的打磨,已經通過多方面機制實現合理管控以及安全專家、平臺、行業企業之間三方的安全有效連接,最終通過以下五個方面來完成一個有效、可控的運營平臺建設:

第一、合規授權 | 實現在線電子簽約機制

作為最早將在線電子簽約應用于互聯網安全服務平臺的團隊,通過與國內領先的電子簽約云平臺“上上簽”達成深度合作,引入區塊鏈在司法領域的應用技術,實現電子合同多方存證和全證據鏈溯源,保護客戶數據安全和隱私,讓合同更安全更具公信力。

目前,AllSec安全服務平臺同所有安全專家之間的合作已實現了在線電子簽約,同時在參與實際的安全技術服務項目上會完成二次簽約,簽約技術評估范圍的內容與客戶提供的滲透測試授權書、技術服務協議內容保持一致,確保了授權的可靠、可信。

第二、流量審計 | 服務過程可信、可視化

AllSec安全服務平臺通過接入身份認證,并統一分配IP地址,實現對項目參與者的測試過程進行全流程管控,并保存原始Web流量日志及審計報表,可實時展示滲透測試過程中的流量統計信息與測試可視化,滿足等級保護合規審計需求。

同時,平臺建立了完善的服務過程管控機制,協助企業對 IP進行報備,防止授權測試與真實攻擊同時發生,最大化保障服務過程的可控。

第三、實名擔保 | 邀請機制、邀請有禮

眾安天下針對長期支持的老會員發放了足額的邀請碼,用以邀請新的會員加入。邀請機制的核心價值是通過以老帶新的邀請機制提高運營效率,也保證了項目穩定性輸出,通過常態化運營機制完善各類技術領域專家人才庫,更好的保障平臺機制有效運行。

另外,邀請機制還有額外獎勵規則,被邀請用戶產生收益后,平臺將會額外拿出按新用戶收益計算的20%,作為平臺永久激勵發放給老會員。

第四、獨立第三方 | 漏洞風險評價體系

作為獨立第三方的安全服務平臺,其漏洞評級標準規則力求客觀、公正,依據多維度來評價漏洞風險。

該規則參考了國內外主流SRC平臺、第三方漏洞平臺、多家企業評級標準綜合評級。在運作方面,平臺將會從業務影響維度、技術影響、利用難度等多方面考量,在以攻擊者視角評估發現問題的影響程度之外,還會參考對企業業務影響等方面來進行第三方平臺視角綜合評級。

此外,AllSec安全服務平臺會同步針對報告內容建立評價體系,包含漏洞完整性、漏洞自評差額、漏洞復測及時性、已判斷提交問題是否為精華漏洞。

第五、限時游戲 | 邀請碼獲取機制

AllSec安全服務平臺從誕生至今已內測運營近四年時間,采取內部邀請機制運行,為迎接本次平臺上線,增加更多技術趣味性,單獨設置了小游戲環節,游戲為獲取平臺邀請碼的“AllSec安全服務平臺”官方的唯一途徑,具體游戲規則需要自行“深入”探索,并且對游戲規則的獎懲機制有明確要求。

針對此次AllSec安全服務平臺的正式上線,眾安天下團隊創始人楊蔚表示,希望通過本次新版平臺發布,能夠有效的為更多行業客戶提供優質、高效、可控的服務。通過遠程SaaS服務模式,實現可信連接,簽約專家通過平臺能快速幫助行業企業客戶快速排查漏洞風險,最大化的將互聯網安全漏洞風險降至最低。

在談到平臺的愿景時,楊蔚說道:“互聯網服務模式的優勢在于,可以不受地域、時間限制、不受安全專家資源限制,更靈活的制定項目要求規則,更好的服務于企業機構。我們堅信通過安全技術力量可以溫暖整個行業,通過健康有效的運營機制,賦能于安全生態,幫助更多懷揣安全夢想的新人。“

關于眾安天下:

眾安天下成立于2016年4月,是國內領先的互聯網安全服務提供商,2019年7月獲得貴陽大數據安全產業基金戰略投資,核心團隊來自WooYun、德勤、新浪、360等國內知名企業,團隊積極參與安全服務創新,同時也是安全眾測國家標準主要起草單位之一,安全眾測國家標準試點單位之一,公司旗下互聯網安全服務平臺簽約安全專家超過2000位,涵蓋滲透測試、Web安全、移動安全、逆向破解、威脅分析等技術領域,核心專家團隊平均從業經驗8年以上。

眾安天下旗下的鳳凰安全實驗室團隊作為核心能力輸出,已經為近百家企業機構提供能力支撐,涵蓋國家監管機構、央企、金融、運營商、能源、交通、醫療、物聯網、政務云、互聯網等行業領域,并多次參與國內攻防演練大賽及重大活動保障支撐,并取得佳績。