俗語說,進攻是最好的防御。在企業(yè)安全中,沒有比這句話更真實貼切的了。搶在黑客之前發(fā)現(xiàn)漏洞可以防止災(zāi)難性數(shù)據(jù)泄露,避免對公務(wù)業(yè)務(wù)和信譽產(chǎn)生重大打擊。
大多數(shù)企業(yè)都是采用如下兩種方式中的一種:其一,人工的,由人來測試潛在的弱點;其二,自動的,由漏洞掃描器濾出網(wǎng)絡(luò)中潛在的漏洞。但單獨使用這兩種方法都不能保證完全有效。
“當(dāng)今的漏洞解決方案有缺陷。有些是以人為中心,定點兒進行滲透測試,受測試員自身技術(shù)水平和測試計劃時間線的限制較大。其他的則完全依賴于掃描器技術(shù),讓已經(jīng)很緊張的IT部門再被重報、誤報、不均衡的質(zhì)量水平和成千上萬需要人工審核的提交給淹沒,”Synack首席技術(shù)官馬克·庫爾表示。
Synack,一家前國家安全局的分析人員成立的公司,創(chuàng)始人兼現(xiàn)任首席執(zhí)行官是前國家安全局分析師杰·卡普蘭,他和庫爾采取了結(jié)合人機兩種方法優(yōu)勢的新途徑來解決這一問題:將漏洞評估眾包給Synack紅隊(SRT)和Hydra技術(shù)。
SRT是由全球獨立安全研究專家組成的團隊,利用他們的技術(shù)和專業(yè)知識以及尖端科技發(fā)現(xiàn)潛在脆弱點。Hydra技術(shù)則持續(xù)掃描客戶網(wǎng)絡(luò)漏洞并將威脅情報報告給內(nèi)部安全團隊和SRT。
眾包安全
卡普蘭認為,該創(chuàng)意在于眾包安全可以利用最佳思維、最佳技術(shù)和最佳實踐呈現(xiàn)關(guān)于潛在漏洞的客觀視圖并快速有效地修復(fù)它們。
SRT成員都是網(wǎng)絡(luò)安全業(yè)界精英,在加入SRT之前都要經(jīng)過廣泛細致的背景調(diào)查和篩選。篩選過程緊張而富挑戰(zhàn)性,候選人通過率僅有大約10%。SRT成員以自由職業(yè)者的方式工作,很多人的正職是其他IT公司的安全人員。他們的薪水按件支付,發(fā)現(xiàn)一個漏洞并為客戶修復(fù)便計入薪酬。
這就是眾包安全情報。這一模型下,客戶的資產(chǎn)能得到持續(xù)的安全覆蓋,客戶能得到自身安全態(tài)勢的多元化客觀認知。我們討論的不是一兩個人而是由上百人組成的團隊持續(xù)不斷地尋找威脅。Synack的私有“漏洞獎勵”模型崇尚匿名性。出于保密義務(wù),Synack不公開其客戶名單,但卡普蘭稱,該公司每季度財富500強客戶增長率超過300%。
“我們預(yù)期可能會有個‘客戶培育’和‘清除進入壁壘’的過程,但卻發(fā)現(xiàn)即使是來自監(jiān)管最嚴格最保守行業(yè)的公司也在踴躍采納Synack。”
Hydra技術(shù)
當(dāng)然,即使有成百上千個專職的安全專業(yè)人士,要實時地對每一個可能的漏洞做出反應(yīng)也是不夠快的。網(wǎng)絡(luò)、軟件和應(yīng)用都太復(fù)雜了,黑客自然也是很聰明的,尤其是在大企業(yè)環(huán)境下這兩點特別突出。Synack將新技術(shù)Hydra結(jié)合SRT團隊和客戶內(nèi)部安全,三者協(xié)同工作以加速大范圍的威脅識別過程并做到迅速修復(fù)。
Hydra的持續(xù)監(jiān)視功能被設(shè)計為與SRT測試過程的偵查階段無縫銜接,令他們可以在不影響質(zhì)量的情況下對大企業(yè)的所有資產(chǎn)進行更快更深入的測試。這一對人力和機器的優(yōu)化組合是與企業(yè)每天面對的現(xiàn)實威脅進行戰(zhàn)斗的獨特方法,戰(zhàn)略性地凸顯出“研究人員利用先進的技術(shù)手段應(yīng)對資深黑客威脅”的一種解決方案。
Hydra平臺提供的三種功能——主機監(jiān)視、Web應(yīng)用分析和手機應(yīng)用分析,均將分階段推出。主機監(jiān)視功能已于上月向Synack客戶開放,Web和手機測試功能將于2016上半年推出。Hydra技術(shù)以SaaS方式提供,客戶沒必要安裝任何實體或虛擬的設(shè)備,不用部署任何軟件,也不用購買和維護任何硬件基礎(chǔ)設(shè)施。
“我們的客戶已經(jīng)見識到了擁有這些研究人員為他們工作的價值,但我們開始對怎樣有效將此服務(wù)推向復(fù)雜龐大的企業(yè)群體并保持SRT的富有成效發(fā)出了疑問。有了Hydra,我們就既可以利用人類經(jīng)驗和技術(shù)的深度和廣度,又可以依賴機器執(zhí)行重復(fù)性任務(wù),讓安全工作開展得快速有效。”
Synack關(guān)鍵詞
1. 安全眾包平臺
同時提供“安全即服務(wù)”(SECaaS)產(chǎn)品,企業(yè)只需要支付一定月費,就能享受持續(xù)的安全情報服務(wù),對接企業(yè)和全球范圍的白帽,幫助企業(yè)解決安全問題。
2. 漏洞獎勵
Synack還運營著一個高水準的企業(yè)漏洞獎金計劃,與全球頂尖安全專家和白帽子簽署合同,為發(fā)現(xiàn)漏洞的簽約專家支付漏洞獎金。
3. 融資
Synack今年2月完成2500萬美元融資。
原文地址:http://www.aqniu.com/neo-points/12502.html
京公網(wǎng)安備 11010502049343號