神刀安全网

他们把三万个白帽子放在云端,只为把网站的漏洞都装进“盒子”

如果你知道Freebuf,你一定是对中国网络安全界有一定关注和了解的人。就像拓扑社是企业服务的垂直媒体一样,Freebuf是专注于中国网络安全的垂直媒体。而在2014年之前,这个网站一直是由一群热爱安全行业的攻城狮们兼职运营的,但是在2014年,这群攻城狮们一拍大腿,自主创业,并推出了一个名为“漏洞盒子”的众包网络安全平台,专注于漏洞的发现和处理。

用众包改善安全服务的生态

为什么众包模式在国内信息安全服务市场能走通?漏洞盒子创始人,Freebuf联合创始人袁劲松为笔者介绍了国内这个市场的乱象。

“很多购买了安全服务的公司,库房里都有一堆安全硬件设备,这些设备有些压根没通电,有些通电了但没联网,还有些没有设置安全策略,这样的设备根本就是无效的,为什么还要去买呢?原因在于目前市面上的安全服务都是按照‘人天’为单位来计价,甲方为了削减成本,会很大幅度地压价,这样能够为甲方提供服务的工程师就变少了,而乙方因为被压价,得不到应有的利润,就只能通过向甲方售卖安全硬件产品来维持利润率。此外,乙方的工作量、资质等信息都没有实质上的公开,是不透明的,同时因为价格没法根据工作量来量化,导致价格也不透明。”

袁劲松可以称为中国信息安全服务市场中的“老人”,从2007年毕业进入安氏领信后,袁劲松一直在从事安全方面的研发工作,此后袁劲松又相继来到绿盟科技和携程。也就是在携程的时候,袁劲松开始了Freebuf的运营。在2014年下半年,袁劲松决心用众包的形式来改善国内安全服务的生态。

当时Freebuf已经成立三年多,在安全服务这个小生态中已具有一定知名度和品牌形象,上面聚集的白帽子们也为数不少;同时从2012年开始运营的乌云众测等平台也证明了众包模式做安全的可行性。然而不同于乌云,漏洞盒子上的漏洞是可以拿到现金奖励的,同时漏洞盒子选择对漏洞进行永久保密。

采取众包模式,漏洞盒子可以让平台上的3万多个来自全球各地的白帽子为和自己签约的厂商服务,发现的漏洞将按照等级进行计费,如果无漏洞则不收取费用,这样一来能够将成本降低90%以上。目前漏洞盒子已经服务过300多家企业。

不止于众包,他们把机器与人工结合

2016年1月,漏洞盒子发布了新一版产品,在这一版产品中,一个叫“网藤”的漏洞感知系统首次出现在公众视野中。漏洞盒子为什么要推出网藤?它会不会代替人工、跟白帽子们抢生意呢?

袁劲松解释了网藤诞生的初衷。“漏洞盒子是一个全人工的方式去发现漏洞,我们一直在想,能不能有一个标准化、自动化的产品。其实网藤兼具工具、平台和为企业管理者,技术人员定制的沟通桥梁三重属性。首先,网藤为企业量身定制安全解决方案,同时具备强大的漏洞跟踪能力,同时为企业开发运维团队打造了非常灵活的协作中心,此外,网藤也开放了第三方接口,可以高效衔接安全开发和运维的管理系统。”值得一提的是,网藤实现了对企业资产自动化的发现跟识别,这便实现了以资产为核心的漏洞感知,同时也支持周期性的任务调度和一些监测预警。

网藤由漏洞盒子核心团队自主研发,基于SaaS模式部署,非常轻,“完全没有任何侵入性”,袁劲松说,漏洞盒子希望用网藤开启系统自动化安全服务的新时代。

那么,网藤和漏洞盒子上的三万多名白帽子之间是什么样的关系?袁劲松说,这二者之间是互补的,作为机器,可以对企业的资产进行脉络梳理、发现边界并进行检测,这个过程是可7*24小时持续的,人工基本无法做到这一点,而另外一方面目前的机器学习还无法做到像人工一样发现漏洞,高级技术人才的工作是不可代替的,漏洞盒子用“机器+人工”的方式,能够让自己的服务更具有层次性。根据漏洞盒子提供的数据,目前网藤已经为9万余个网站提供了机器检测服务。

根据《信息安全产业发展白皮书(2015版)》,国内信息安全市场从2013年到2016年基本上每年都是在线性上升,2013年的国内信息安全的市场规模在300亿左右,在2016年整个信息安全市场容量达到2000亿左右,主要集中在政府、运营商、金融、电商、游戏等细分领域。面对如此大的市场,袁劲松显得比较理智:“信息安全这个生态其实很小,我们希望和同行者一起把这块蛋糕做大,所以现在我们的眼睛要先盯在用户上,而不是盯在钱上。”

本文为拓扑社原创,未经同意不得转载或引用

寻求报道&合作请联系:tobshe@itjuzi.com 他们把三万个白帽子放在云端,只为把网站的漏洞都装进“盒子”

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 他们把三万个白帽子放在云端,只为把网站的漏洞都装进“盒子”

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址