當(dāng)前,信息安全眾測(cè)已經(jīng)成為了互聯(lián)網(wǎng)公司、政府企事業(yè)單位、金融機(jī)構(gòu)、電商平臺(tái)和各類(lèi)手機(jī)APP、智能設(shè)備廠(chǎng)商針對(duì)自身運(yùn)營(yíng)的業(yè)務(wù)平臺(tái)或信息產(chǎn)品安全“體檢”的首選方式,信息安全眾測(cè)模式打破了傳統(tǒng)信息安全滲透測(cè)試信息不對(duì)稱(chēng)的問(wèn)題,使得企業(yè)和滲透測(cè)試白帽子雙方均獲得收益,眾測(cè)平臺(tái)為創(chuàng)造信息安全技術(shù)價(jià)值者提供了正確技術(shù)輸出方式與更加豐厚的收入,同時(shí)又降低了企事業(yè)單位的信息安全滲透測(cè)試檢測(cè)成本。
互聯(lián)網(wǎng)+安全服務(wù)的模式固然很好,但信息安全畢竟是個(gè)敏感的問(wèn)題,信息安全眾測(cè)的可信,一直是很多企事業(yè)單位,特別是政府機(jī)構(gòu)、金融、電力等國(guó)家重要部門(mén)所關(guān)注的問(wèn)題,作為獨(dú)立信息安全眾測(cè)分析師的我已經(jīng)在信息安全行業(yè)浸泡多年,我認(rèn)為,一個(gè)信息安全可信眾測(cè)平臺(tái)應(yīng)當(dāng)至少應(yīng)當(dāng)具備以下四個(gè)可信條件,即:人才能力可信、透明公正可信、測(cè)試過(guò)程可信、平臺(tái)信用可信。
1、 可信眾測(cè)必要條件之一:人才能力可信
在過(guò)去,企業(yè)想做信息安全滲透測(cè)試,一般是會(huì)找一些安全服務(wù)公司或者安全廠(chǎng)商安全服務(wù)部門(mén),然后,通過(guò)安全服務(wù)公司的售前人員和企事業(yè)單位安全人員溝通需求,明確測(cè)試范圍之后,安全服務(wù)公司為企事業(yè)單位按人天報(bào)價(jià)。這里的重要問(wèn)題就是:企業(yè)根本不了解安全服務(wù)公司最終會(huì)派什么水平的滲透測(cè)試人員給企業(yè)信息系統(tǒng)進(jìn)行滲透測(cè)試檢測(cè),不同水平的人,企事業(yè)單位所需要支付的費(fèi)用也都相同。當(dāng)然,這也不是完全是安全服務(wù)公司的問(wèn)題,當(dāng)前,信息安全滲透測(cè)試人才奇缺,但凡有些能力的人已經(jīng)不滿(mǎn)足于為一個(gè)企業(yè)服務(wù)了,所以,安全服務(wù)公司不能保障為每個(gè)企事業(yè)單位提供有優(yōu)秀的滲透測(cè)試服務(wù)人員。
現(xiàn)在好了,出現(xiàn)了烏云眾測(cè)、威客眾測(cè)平臺(tái)、sobug、漏洞盒子等信息安全眾測(cè)平臺(tái),他們打破了中間環(huán)節(jié),連接了白帽子和企事業(yè)單位,讓滲透測(cè)試人才信息更加透明,最最重要的是,通過(guò)懸賞的方式,讓企業(yè)可通過(guò)互聯(lián)網(wǎng)懸賞全國(guó)優(yōu)秀滲透測(cè)試技術(shù)人員為其服務(wù),互聯(lián)網(wǎng)打破了原來(lái)傳統(tǒng)安全服務(wù)公司的圍墻,讓更多的優(yōu)秀人才和企事業(yè)單位建立了聯(lián)系,并按照實(shí)際的測(cè)試效果付費(fèi)。
“互聯(lián)網(wǎng)+安全”的模式的缺陷就是可信這個(gè)屬性,很多人都會(huì)問(wèn)怎么保證我們的信息不被泄露?白帽子有自己的保密要求,企事業(yè)單位也有自己的保密要求,畢竟信息安全是個(gè)敏感的行業(yè),所以可信、保密是安全眾測(cè)模式的重要基石之一。
因此,可信眾測(cè)的必要條件之一是:通過(guò)打破安全服務(wù)公司圍墻,讓安全人才能力可信,讓天下所有有安全技術(shù)的能力者參與安全項(xiàng)目,實(shí)力說(shuō)話(huà)。
2、 可信眾測(cè)必要條件之二:平臺(tái)透明公正可信
可信眾測(cè)平臺(tái)是個(gè)“平臺(tái)”,什么是平臺(tái),平臺(tái)的意義到底是什么?很多人會(huì)對(duì)平臺(tái)產(chǎn)生誤解。獨(dú)立安全眾測(cè)分析師認(rèn)為,平臺(tái)就是一個(gè)透明公正的舞臺(tái),在平臺(tái)上面的每一位滲透測(cè)試人員均享有公平的待遇。因?yàn)橹挥泄讲拍芪鄡?yōu)秀人才到平臺(tái)為企事業(yè)單位提供滲透測(cè)試檢測(cè)服務(wù),如果平臺(tái)沒(méi)有發(fā)揮平臺(tái)的積極公正可信作用,而是平臺(tái)工作人員和平臺(tái)上面的滲透測(cè)試人員競(jìng)爭(zhēng)的話(huà),這樣的眾測(cè)就不可信了,白帽子滲透測(cè)試人員也就不會(huì)來(lái)了。
所以,獨(dú)立安全眾測(cè)分析師認(rèn)為,可信眾測(cè)的必要條件之二是公正透明可信的安全眾測(cè)平臺(tái)應(yīng)當(dāng)是一個(gè)中立機(jī)構(gòu),不能由信息安全產(chǎn)品廠(chǎng)商或者信息安全服務(wù)公司創(chuàng)辦,這樣的話(huà),平臺(tái)必定將優(yōu)質(zhì)的資源專(zhuān)項(xiàng)對(duì)自己企業(yè)有利的一方。
3、 可信眾測(cè)必要條件之三:測(cè)試過(guò)程可信
可信這個(gè)詞一般的理解是可以相信,可以信賴(lài)。然而,相信到信賴(lài)是一個(gè)過(guò)程。在人們當(dāng)前的理解范圍內(nèi),對(duì)信息安全企業(yè),信息安全知名戰(zhàn)隊(duì),認(rèn)證白帽子的信任程度是逐個(gè)遞減的,如果能有一個(gè)針對(duì)全程眾測(cè)滲透測(cè)試全過(guò)程的審計(jì)與控制平臺(tái)的話(huà)會(huì)大大增加可信程度,平臺(tái)應(yīng)當(dāng)可以對(duì)白帽子滲透測(cè)試的全過(guò)程進(jìn)行監(jiān)控和審計(jì),對(duì)于非法操作可以通過(guò)平臺(tái)直接終止其操作做到風(fēng)險(xiǎn)可控。企事業(yè)單位可以通過(guò)了解白帽子滲透全過(guò)程而更加有針對(duì)性的進(jìn)行信息安全建設(shè)。
可信眾測(cè)的必要條件之三是一個(gè)開(kāi)放的平臺(tái),平臺(tái)應(yīng)當(dāng)開(kāi)放個(gè)人、組織、企業(yè)入駐,并且具備全過(guò)程審計(jì)能力。
1、認(rèn)證白帽子入駐:即獨(dú)立的滲透測(cè)試白帽子。信息系統(tǒng)運(yùn)營(yíng)使用單位發(fā)布眾測(cè)項(xiàng)目,白帽子報(bào)名參與項(xiàng)目,個(gè)人信息審核符合條件并通過(guò)后可以開(kāi)始安全測(cè)試與漏洞挖掘,測(cè)試時(shí)間結(jié)束后,根據(jù)測(cè)試結(jié)果為白帽子結(jié)算獎(jiǎng)金。
2、知名安全戰(zhàn)隊(duì)入駐:戰(zhàn)隊(duì)即具有一定互補(bǔ)能力的團(tuán)隊(duì)組合在一起。一般一個(gè)優(yōu)質(zhì)戰(zhàn)隊(duì)包含善于WEB安全方面、逆向方面、社工方面、密碼、取證、安全編程等能力人員組成。
3、企業(yè)戰(zhàn)隊(duì)入駐:即信息安全廠(chǎng)商安全服務(wù)部門(mén)或者信息安全服務(wù)公司的入駐。
4、可信眾測(cè)必要條件之四:平臺(tái)信譽(yù)可信
我們都知道,信息安全是相對(duì)的,世界上沒(méi)有100%的安全,企事業(yè)單位只能通過(guò)不斷地從信息安全意識(shí)層面、信息安全管理層面、信息安全技術(shù)層面以及人等角度持續(xù)不斷的進(jìn)行信息安全建設(shè),把風(fēng)險(xiǎn)降到最低,保障都在可控范圍之內(nèi),可信眾測(cè)平臺(tái)不應(yīng)該將漏洞公開(kāi)或半公開(kāi)披露,這對(duì)企業(yè)信譽(yù)以及安全造成嚴(yán)重危害。如果被非法人員利用,將會(huì)給企事業(yè)單位帶來(lái)非常嚴(yán)重的信息安全隱患。平臺(tái)應(yīng)當(dāng)采用更加柔和的方式請(qǐng)?jiān)钙笫聵I(yè)單位進(jìn)行信息安全建設(shè)。因此,可信眾測(cè)的必要條件之四是眾測(cè)平臺(tái)應(yīng)當(dāng)保障企事業(yè)單位信息安全利益。
通過(guò)獨(dú)立信息安全眾測(cè)分析師最近對(duì)國(guó)內(nèi)幾個(gè)信息安全眾測(cè)平臺(tái)的了解,為大家提供一個(gè)信息安全可信眾測(cè)參考表。(本表格僅僅是獨(dú)立安全眾測(cè)分析師個(gè)人理解,比較客觀,不帶有任何商業(yè)色彩,僅供參考)
注:補(bǔ)天平臺(tái)和其他四家平臺(tái)模式略有不同,僅供參考。
京公網(wǎng)安備 11010502049343號(hào)