TangScan:不仅是漏扫,更是一款按“结果”付费的风险管理平台
作者: 日期:2016年03月23日 阅:3,996

安全牛在去年12月中旬,曾发表过一篇关于TangScan发布会的文章,对唐朝安全巡航这个产品做了简单的介绍。这次,借公开新的“付费模式”的契机,小编联系到唐朝的产品总监 章华鹏,以及乌云的市场负责人 邬迪,对“唐朝”这个产品做了更深入的访谈和了解。

640.webp (16)

唐朝安全巡航(TangScan)是一款SaaS持续风险管理平台。作为乌云社区的第三方合作伙伴,同时作为乌云的独立子品牌,唐朝一直致力于通过将白帽子发现的安全问题以平台安全策略(插件)的形式转化为安全检测能力,为企业提供“发现(确诊)问题”的能力。

安全从业者是医生,企业自己哪生了病,他们不清楚,但我们要给他们‘确诊’,并给出明确且正确的建议。

TangScan的定位就在于“确诊”。通过对乌云漏洞平台18万漏洞的积累、白帽社区白帽子贡献的“一手”安全策略以及由乌云核心白帽组成的运营团队等资源的利用整合,从而实现“不看广告、看疗效”的商业模式。

15年7月,唐朝(TangScan)低调上线,经历了近半年的试运营,12月的高调发布,再到16年3月,唐朝不仅实现技术层面的迭代优化,更是将服务的着眼点“重置”,将侧重点从企业的“深度安全检测”转移到“风险管理”。

产品优化

在产品层面,唐朝团队(TangSec)在这半年多的时间做了如下优化:

spider抓取技术:利用静态和动态引擎结合,同时配备多客户端模拟抓取技术,目前已经能够完美覆盖移动浏览器页面的识别和抓取,保障风险检测在企业网站的业务覆盖面上有了质的提升。

分布式集群的稳定性:考虑到客户单IP对应多域名,及单域名对应多ip的情况,对分布式检测集群进行了智能限速,以保障企业业务的正常运转不会受到TangScan检测的影响。

核心检测能力:上线了全球首创的存储型XSS检测引擎。

专家服务流程:每个企业都分配了专属的安全专家进行服务,对企业的报告进行深入解读和风险预警(目前已累计为客户提供上百次的严重风险预警服务),并跟踪服务客户从发现问题到最后解决问题整个过程。

核心功能

除了产品层面上的优化,这次TangScan还特别强调和风险管理密切相关的服务——风险演示。

风险演示,比如说SQL注入,通过一些简单的验证,告诉客户确实存在问题,以及他的危害性和严重性,而不是简单的给他一个报告,告诉他这个漏洞是不是高危。当然,去年12月发布时唐朝就有类似的功能,但关于这点的深刻认识则来源于这半年多收集来的客户需求及反馈结果。

除了风险演示,还有很核心的就是唐朝的安全检测能力,而这更多的是来自白帽提交的安全策略(插件)更新。据唐朝的产品总监,同时也是乌云的核心白帽 章华鹏 介绍,唐朝会第一时间邀请乌云主站漏洞提交的原创者做插件,或者待厂商修复或漏洞细节和乌云第三方合作伙伴公开后邀请其它可信白帽代为编写。

而同时,当之后有更好或者更新的插件出现后,新插件会第一时间同步到唐朝平台并将原插件覆盖。当然,和唐朝合作的都是经过乌云“精挑细选”的可信的核心白帽。他们的行为同时也受乌云的相关协议约束。而这些插件快速更新迭代的目的,就是为了让更多的企业,能通过唐朝(TangScan)第一时间发现同样的问题并及时作出响应。

付费模式

这次“按结果收费”的新的付费模式,是一个噱头,更是一次尝试。既然有按“XX”收费,自然会有完全免费的服务。

免费服务包括:

IP、域名等资产管理;
漏洞、内容、数据风险管理;
通用安全事件预警。

收费服务:

漏洞细节;
风险演示;
安全管理(专家建议)。

当然,除了按结果付费的付费模式,年服务的传统模式也依旧适用。选择哪种缴费方式,需要根据企业结合自身安全状况以及安全预算和需求来最终确定。

还需一提的,是唐朝产品在这半年多的运营中,所发现的问题。其中比起纯粹互联网公司,试图由传统向互联网转型的企业(互联网+)往往安全问题更加严重,安全意识也更加薄弱。而在漏洞方面,某些初创公司,其大量使用的“第三方通用服务”,以及各个企业安全配置层面的“未授权访问”“弱口令”和应用层面的“SQL注入”等问题,也是重灾区。

安全牛评

TangScan将安全能力从工具化的安全检测(漏洞扫描)转移到提供专家服务的风险管理平台,通过风险演示,从企业更能接收和认可的角度,对企业所面临的安全风险作出评估,并为之后的安全问题的处置给出了建议,为企业实现了管理层面的价值和成本缩减。这是其它安全检测工具所不具备的,也是唐朝的价值点所在。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章