今日,斗象科技推出企業(yè)SRC(安全應(yīng)急響應(yīng)中心),一方面讓企業(yè)快速發(fā)現(xiàn)漏洞,另一方面讓白帽子快速獲得收益。聯(lián)想集團(tuán)安全應(yīng)急響應(yīng)中心也在發(fā)布會(huì)上正式入駐漏洞盒子企業(yè)SRC。
近年來(lái),企業(yè)安全漏洞引發(fā)的事故頻頻發(fā)生,往往帶來(lái)直接或間接的經(jīng)濟(jì)損失,SRC于是應(yīng)運(yùn)而生。簡(jiǎn)單的說(shuō),SRC就是企業(yè)連接白帽子的一個(gè)平臺(tái),企業(yè)可以在平臺(tái)提出自己的安全需求、展示獎(jiǎng)勵(lì)力度等,吸引白帽子幫企業(yè)發(fā)現(xiàn)并提交漏洞,以提高安全防御能力。
目前,國(guó)內(nèi)百度、阿里、騰訊、360、唯品會(huì)等互聯(lián)網(wǎng)公司自建了SRC,解決之前白帽子報(bào)洞無(wú)門的問(wèn)題,但大多數(shù)企業(yè)并沒(méi)有這個(gè)實(shí)力。一是因?yàn)槿狈Π踩夹g(shù)積累以及與白帽子直接對(duì)接的機(jī)制和渠道,二是SRC建立容易運(yùn)營(yíng)難,搭建后需要投入大量人力物力進(jìn)行漏洞審核、跟蹤修復(fù)、技術(shù)運(yùn)營(yíng)等工作。
斗象科技聯(lián)合創(chuàng)始人CTO張?zhí)扃髡劦剑?ldquo;對(duì)于大企業(yè)來(lái)講,資源雖然不是問(wèn)題,但SRC畢竟不是核心業(yè)務(wù),投入有限。而中小企業(yè)本身資源有限,重業(yè)務(wù)而輕安全是普遍現(xiàn)象,在安全當(dāng)中的投入非常之有限,且人員配備不足。”
為了幫助更多企業(yè)建立SRC,斗象科技推出企業(yè)SRC產(chǎn)品,企業(yè)注冊(cè)后可以在平臺(tái)建立自己的主頁(yè),添加公告、發(fā)布運(yùn)營(yíng)信息,比如漏洞測(cè)試范圍、測(cè)試時(shí)間、有效的漏洞類型、處理周期、獎(jiǎng)勵(lì)額度等,向白帽子傳達(dá)自身的安全能力和態(tài)度。白帽子則可以通過(guò)平臺(tái),自行選擇企業(yè)進(jìn)行漏洞發(fā)掘和提交。
漏洞盒子在漏洞管理和處置體系方面擁有三年的實(shí)踐經(jīng)驗(yàn),針對(duì)企業(yè)SRC運(yùn)營(yíng)成本較高、軟件設(shè)施不全、宣傳效果不好、人員流動(dòng)性大、平臺(tái)穩(wěn)定性不強(qiáng)、團(tuán)隊(duì)技術(shù)性不強(qiáng)、漏洞響應(yīng)不夠及時(shí)等問(wèn)題,漏洞盒子企業(yè)SRC提出了自己的解決方案。比如通過(guò)專業(yè)SRC安全運(yùn)營(yíng)團(tuán)隊(duì),為企業(yè)提供漏洞規(guī)范、審核與漏洞生命周期管理,同時(shí)建立國(guó)際漏洞審核標(biāo)準(zhǔn)CVSS系統(tǒng)為標(biāo)準(zhǔn),并幫助企業(yè)SRC進(jìn)行持續(xù)的宣傳、白帽子KOL管理等活動(dòng)支持。
具體流程一般是,白帽子在平臺(tái)提交漏洞后,由平臺(tái)或企業(yè)自行來(lái)審核漏洞,核實(shí)后再發(fā)放獎(jiǎng)勵(lì)。此前,漏洞審核流程周期一般在1~3個(gè)月,漏洞修復(fù)后再發(fā)放獎(jiǎng)金。而白帽子通常會(huì)在確認(rèn)漏洞后,急于知道獎(jiǎng)金額度及發(fā)放時(shí)間,會(huì)不停催促詢問(wèn)漏洞盒子官方,官方又會(huì)來(lái)催問(wèn)企業(yè),中間耗時(shí)耗力。因此,漏洞盒子企業(yè)SRC平臺(tái)將獎(jiǎng)勵(lì)發(fā)放調(diào)整到漏洞確認(rèn)環(huán)節(jié),整個(gè)流程縮短至1~7天,同時(shí)要求廠商在平臺(tái)公布自己的獎(jiǎng)金設(shè)置等級(jí)及額度。另外,平臺(tái)還會(huì)根據(jù)漏洞有效性、級(jí)別、報(bào)告質(zhì)量、涉及資產(chǎn)范圍等維度進(jìn)行計(jì)算,進(jìn)行積分和獎(jiǎng)金的排名,以此激勵(lì)白帽子。
我們此前報(bào)道過(guò),斗象科技由互聯(lián)網(wǎng)安全社區(qū)和媒體Freebuf脫胎而來(lái),旗下產(chǎn)品“漏洞盒子”可以看成是中國(guó)版的Hackerone,類似的平臺(tái)有美國(guó)的 HackerOne 、Bugcrowd 、Synack等,還有國(guó)內(nèi)的烏云眾測(cè)、威客眾測(cè)、補(bǔ)天、白帽眾測(cè)等。
目前,斗象科技已經(jīng)沉淀了35000個(gè)“白帽子”資源,其中大部分來(lái)源于Freebuf社區(qū)。社區(qū)一方面利用媒體和社區(qū)的優(yōu)勢(shì),吸引了大部分白帽子資源,另一方面,也通過(guò)培訓(xùn)和“漏洞檢測(cè)”大賽的模式,提高白帽子的技術(shù)水平。
京公網(wǎng)安備 11010502049343號(hào)