今天上午,小编参加补天颁奖典礼及新平台发布会。发布会上,补天重金奖励了2015年做出突出贡献的白帽子,并首次推出为企业量身打造的补天众测服务。
作为安全领域的行业媒体,小编自然最关心这个新众测方案的运营机制和特点。下面是小编整理出的关键点:
一、目前企业如何解决安全风险
1. 自建SRC。优点是有效且快速的获取自身安全漏洞信息,缺点是资源的投入。
2. 自建团队。自建安全团队能够对自己的业务及时安检,排查漏洞,但安全团队的工作量和企业需要进行安全测试的工作量,明显不对等。
3. 购买安全设备。设备确实可以在一定程度上提升安全水平,但设备同样也有局限性,比如逻辑漏洞。因此,人机结合才是最有效的解决手段。
4. 购买安全服务。介于以上种种问题,安全服务能够有效的缓解,提升安全能力,可效果好的安全服务费用太高。
二、企业解决安全风险遇到的常见问题
1. 组建安全团队成本高,并且安全人员的稀缺以及技术水平参差不齐,无法做到全面深入的安全测试。
2. 缺乏专业的漏洞修复建议和对修复结果的检验机制。
3. 业务频繁更新产生新漏洞。如何第一时间获取漏洞信息是一个亟待解决的问题。
4. 担心使用众测服务引发新的安全风险。
三、补天众测的特点
1. 精英选拔,按效果付费。补天从优秀白帽子中为企业量身挑选30到50名精英白帽,提供定制化测试服务,并且无漏洞不收费,付费只和测试项目效果有关。
2. 提供修复建议,并跟踪回检。对于众测中发现的漏洞,平台的安全专家提供专业修复建议,并会在漏洞修复后,即刻跟踪回检,确保漏洞彻底修复。
3. 漏洞预警,多重保险。后者是指补天会为企业就测试项目提供漏洞保险的服务,如果在一定的时间内再次发现漏洞,平台为这些项目提供私有SRC级别的服务,包括对漏洞的信息进行隐藏等。
4. 实名认证。参与补天众测的白帽子均完成实名认证并签署保密协议,同时通过VPN安全接入结合平台独有的网络流量记录和分析产品,全程记录白帽子操作行为,做到有据可查。
四、补天众测服务的流程
好了,专业的事谈完后,该谈谈钱了。
补天平台2015年年度获奖项目与名单
最受白帽欢迎厂商:
大众点评、携程网、金棕榈
优秀白帽团队:
SSS安全团队(三等奖)
Ghost攻防实验室(二等奖)
POI团队(一等奖)奖励:360手机,360网络攻防实验室终身荣誉会员
年度杰出贡献个人:
backda()、ghost、weiy_(三等奖)
奖励:5000元奖金,ISC大会5000元参会基金
carry_ your、system_gov(二等奖)
奖励:8000元奖金,亚洲级会议10000元参会基金
a0(一等奖)(15年在补天提交漏洞929个,171个精品漏洞)
奖励:10000元奖金,30000元 black hat 参会基金
干货介绍完了,来点儿湿的。
漏洞众测这一新兴的安全服务,从一开始不被认可到现在各大众测平台的全面开花,漏洞价格的直线攀升,反应出越来越多的企业对这一安全服务新形式的认可和接受。在网络安全水平发达的美国,国防部竟然会公开邀请黑客攻击五角大楼,帮助军方寻找漏洞。
诚然,漏洞披露的方式以及白帽子的身份可信也存在着一些问题。正如国家互联网应急中心运营部副主任严寒冰在致辞中所言,漏洞平台在进行信息披露时,要遵循“客观”、“适时”、“适度”三个原则。同时,白帽子群体也要加强自律,杜绝一切超越道德和法律底线的行为。
最后,是补天平台的一些数字:
白帽子:近2万名
有效漏洞:7万+
发放奖金:620万+
获奖金最多的一名白帽子拿到了约45万元。另悉,2016年补天平台预计将投入总额达500万至1000万元作为奖金。
好了,就介绍到这里,下午还有几场好玩的演讲,小编听会去啦!
相关阅读: