访谈|想把众测服务产品化的众安天下
作者:星期一, 十一月 26, 20180

国内的众测市场近两年不愠不火,人称“301”的杨蔚属于很早开展众测服务的一批人,所以在白帽子圈里名气很大。实际上早在2014年,安全牛就与301经常有接触。如今,他自己出来创业成立了一家名为“众安天下”的公司,主要业务还是众测服务。但与以往的众测相比,已经有了一些不同和变化。近日,安全牛记者采访了杨蔚,从这个早期众测服务的“老人”口中,了解他对众测的创新思路。

个人简历:

杨蔚:花名301

Title:创始人/CEO

个人微信公众号:301在路上

现任北京众安天下科技有限公司总经理,中国信息安全技能竞赛专家委员会专家,原国内最大的安全众测平台负责人,曾就职于知名安全咨询公司谷安天下担任高级安全顾问,可信众测安全标准制定者,是互联网众测模式创始者与最佳实践者之一,服务过超过500家企业。

一、从众测到培训,再到众测

安全牛:众测已经有好多平台,包括360补天、阿里先知、漏洞盒子等,而几乎所有的安全公司都有渗透测试的业务,你为什么还要做这样的一个事情?

杨蔚:说起来也有些曲折,我大概谈谈当时的情况吧。我们知道,从整个安全产业来看,最核心的是人,有人安全工作就好做,防护水平也能提高。因此,一定要聚焦在“人”上面,这一直都是我的创业方向。

起初,我们帮助很多客户发现了很多问题,但是安全部门一直处于缺失或者人手缺失的状态。当时也给一些企业推荐过不少人员,但是还有很多潜在的安全爱好者和企业中间存在信息不对称的情况。当时我想做的是招聘+安全技能培训,做一个安全人才的招聘平台,一方面为企业找到急缺的人,另一方面通过安全培训,帮助更多的安全爱好者找到合适的工作岗位和机会,突出他们的价值,实现人尽其用。

当时做了一些尝试,发现这个模式存在一些问题。后来换了一种形式,还是义务帮助一些个人和企业继续提供服务,最终还是转回到了自己擅长的互联网安全测试领域。众测的业务模式和执行细节我非常清楚,我觉得可以把它做得与别人不一样,做得更有特点,弥补众测领域一些不完善的地方。

安全牛:众测不就是对接企业和白帽子,帮助企业找漏洞,这能有多大的差异?

杨蔚:表面上看是差异不大,但深入到业务场景中,大家还是有很大的不同,更重要的是,也有很多弊端。就拿找漏洞来说,如果是零散的发现某个或者某类问题,这里涉及的沟通成本和运营成本会很高,发现单个问题,无法形成闭环。众测平台发任务,然后白帽子报名,找到漏洞后再转给企业,感觉似乎很简单,但实际里面涉及到很多的问题,比如人员的身份问题,不同客户、不同场景需要评估的项目实施风险也不一样。

而最重要的是人员身份可信、安全机制设计的问题,否则企业和白帽子、平台三方都会存在一些潜在的风险。

二、最大的障碍在于信任机制

安全牛:能否先把众测平台分一下类,然后我们再具体谈都面临哪些问题?

杨蔚:我觉得可以分成四类,第一种是漏洞平台,公益性的漏洞提交平台;第二种是漏洞悬赏平台,企业主动入驻,然后授权,找到漏洞后付费;第三种是企业自己的SRC和托管式SRC的模式,最后一种是以项目任务的形式的众测模式,我们做的方向也是最后一种,每次项目的需求会针对企业用户的要求进行动态变化。

这四种运营场景都有自己特色,运营机制和模式完全不一样,各自对外部的安全研究人员的要求和规范性也不一样,当然最重要的也是运营,但是也是巨大的挑战,如果出现纠纷的情况,运营和沟通成本比较高,一旦引起纠纷可能存在更深层的矛盾。 对于漏洞发现者的行为,更应该形成规范,激励方式也得多样化。

比如,白帽子挖到漏洞如何证明过程是合规的?如何证明漏洞的价值?而且为了更大的漏洞奖励,挖漏洞的人一定会希望漏洞越严重越好,或待价而沽或不断的尝试积累更多的漏洞,这时他又如何避免影响到企业的业务,尝试的边界在哪里?这会给企业带来很大的风险,同时这也意味着个人会存在法律风险。

所以我们要做大量的运营工作,自己来评估漏洞本身的风险,我们会协助企业来决策。当然我们是从独立第三方的角度来评估漏洞对企业业务造成的影响,从而对漏洞进行评级,这样基本不会引起争议,如果奖金池设置为区间价格,就很容易引发沟通矛盾,这块如果参与过相关运营工作的朋友,一定深有感触。

安全牛:平台不是会给白帽子签授权协议吗?

杨蔚:企业入驻的平台会好些,至少平台是合规了,这方面得看平台的运营情况来定了,如果不违反规则的情况下,法律风险应该还好,如果有争议,可能无法形成保护。

安全牛:那就需要平台与白帽子的合作机制,或说对白帽子的认证,然后平台还要承担认证后的风险。

杨蔚:是的,如果没有这个机制,双方的潜在风险依然没有解决。而且,即便有了一定的机制,还需要涉及到更细节的东西,比如约束范围、能力边界、背景调查、个人征信等。

安全牛:那众安天下的平台是怎么做的呢?

杨蔚:主要还是健全机制,尽量堵住各个方面或环节中的“坑”。比如,我们所有的合作伙伴和企业,都签有明确内容的合作协议。还有与我们合作的白帽子(以下称“安全专家”),都会有正式的协议,而且是双重签约,只要遵守规定,从法律层面来讲,是有保障的。

安全牛:什么是双重签约?

杨蔚:双重签约就是安全专家和平台进行 “保密协议+项目协议”电子+纸质签约,我们是国内首家实现安全专家电子签约的可信众测平台,这样对运营的要求非常高,这样从法律层面也会更严谨一些。我们通过安全专家的身份确认,第一步是基础信息的确认,如身份证的真实性,第二步,我们现在的电子签约通过官方接口来验证对方的身份,如金融体系的四要验证,姓名、身份证号、银行卡号和手机预留号。接下来,我们还会结合巨头企业的开放平台,强化风控体系,把安全机制做到更好。这样我们通过相关安全机制和平台的运营,这样让平台、安全专家和企业三方更有保障。

安全牛:这种身份验证机制,有多少白帽子会主动在平台上注册?

杨蔚:我们对合作的签约专家数量控制比较严格,实际上我们已经关闭了注册通道,现在是纯邀请机制运营,新用户注册需要邀请,采取担保人担保——谁邀请,谁担保。这样能更有效的保障身份的问题,我坚信能愿意参与到帮助企业发现问题,解决问题的安全研究人员,都是善意的,有其他想法的人,我们通过机制来避免这样的情况产生。所以,从根源上下功夫,会适合当下的环境。可信的人总是会遵守法规的,再加上可信的人担保他邀请来的人,违反规则的情况的可能性就小多了。哪怕进来的人少一点,节奏慢一点,但能够避免一些风险还是值得的。

而且我们是国内专注众测服务领域的安全公司,这与其他平台和团队运营模式也完全不一样,大家各有特色,但我们也会在互联网安全测试方向会持续创新,形成我们自己的特色,更好的去满足企业的需求。

三、安全服务产品化

安全牛:这些小型安全公司之所以走安全产品的路子,应该是由于纯粹做服务无法支撑企业的快速发展。但同样,你们迟早也会遇到这个问题吧?

杨蔚:关于这一点我倒是有不同的看法。现阶段,普遍的现象就是从原来的硬件采购转向服务采购,即未来是一个安全服务化的趋势,由产品设备的销售模式向服务模式转型,可以称它为产品服务化。而我想的是——服务产品化。

安全牛:或者说是标准化,但做到这一点很难。

杨蔚:话虽这样说,但我们想在这方面有所创新,克服和解决一些问题,提升安全服务的天花板。

我们可以看到整个安全行业现在发整的非常快,很多企业都在努力快速提升它们的安全能力。比如,大家都在上云。而云化就会意味着很多技术架构的标准化,架构的标准化则意味着,基础的安全能力都会整合到云中,云就解决了很多基础的安全问题了。因此,传统的安全设备的空间就会小,反而针对业务场景的安全需求会更加旺盛,安全服务需求就会上升。

公司现在的思路是以业务安全视角为企业提供安全服务解决方案,更多的会聚焦在行业场景的分析,不仅帮客户解决技术上的安全问题,还要站在用户的角度去分析场景,考虑业务层面的问题。我们会结合每个行业领域的业务特性,深入了解场景中的特点。每次测试也需要深入了解用户的需求,实现项目交付跟目标需求不偏离。如果企业不知道自己现阶段哪些风险是自身发现不了的,我们就建议做一次全面的安全体检,这样用户得到的是他们自己难以发现的问题,另外,如果客户遇到了实际的问题或者类似的情况,我们可以针对特定的问题,做非常具有针对性的深度测试。我们要了解客户的业务特点,重点流程与数据等,然后对漏洞做评估,具体它会影响到用户的哪些业务?影响范围有多大?程度有多严重?最后再把评估结果和修改意见反馈给客户。

安全牛:但这就意味着你们做的安全人员要了解客户的业务,而这一点恰恰是安全人员的短板。一般来说,众测平台只给客户提交漏洞,评估工作是客户自己完成的。

杨蔚:所以,这正是我们与其他平台不一样的地方。现在都讲用户体验,做为互联网安全服务提供商,必须要强调一点。尽可能要保证我们的每一个安全专家,除了擅长技术以外,还要了解客户的业务场景,现阶段我们服务团队的专家学习能力已经做到了能在短时间内快速发现很多严重漏洞问题。

如果学习能力不强,对业务不愿意去了解,是不可能把事情做好的。而且,现在的互联网公司或者各重点行业的大企业,安全能力非常强。如果做安全服务的公司比客户能力还要差,发现不了新的问题,客户怎么可能跟你合作?

拿安全体检服务来说,某个漏洞技术问题还是业务问题,甚至是运营层面的问题?责任边界在哪里?谁负责解决?如何解决等。按行业角度来说,各个行业各有各的关注重点。比如,直播类业务就非常关心内容安全,消费业务关心逻辑漏洞,金融业务关心业务场景的风险,大数据行业领域就特别关注运营安全,物流和电商行业就更侧重在供应链安全。

公司内部会经常性的做技能培训,在了解各行业业务流程原理的同时,还要遵循良好的漏洞提交习惯,把评估报告写的非常清楚明了,很好的帮助客户解决实际问题。在用户体验上有很多细节上我们做了创新,最终的目的就是把体检报告或漏洞报告交给用户之后,用户可以直接根据具体漏洞报告对应的问题,找到相应负责人,快速解决问题,降低安全风险。从而降低双方的沟通成本,提升工作效率。

四、安全人员必须与业务结合

安全牛:明白。但我还是觉得让安全人员了解业务不是一件简单的事情,否则这两年,应该可以看到众测平台的发展。可是至少目前来看,这个行业似乎有些萎靡。

杨蔚:这个行业需要沉淀很多事情的,我们一直在积累各个行业经验,分析场景,对于内部的团队,我对所有人要求,包括行政、财务的同事都必须要懂业务和我们的客户场景,这样才能更好的去落地和解决问题,行业场景化和业务标准化,就是刚才我说的“服务产品化”。

行业萎缩有多方面的原因,一方面是市场竞争比较激烈,另一方面是同质化比较严重,差异不大,加上缺乏创新,很多企业对众测理解有点疲倦了。所以,这也是行业内大家需要去思考的一个问题,无论是技术上的创新还是模式机制的创新,让更多行业领域的用户理解它的价值,市场空间那就是质的改变了,据我了解行业内最大的众测项目,在千万级别,我坚信这个市场空间和价值。

安全牛:你认为你们公司最大的竞争力是什么?

杨蔚:在众测这个领域,有两项关键点,平台的运营能力和安全实战团队人员。安全行业每个细分领域,国内有非常多的技术专家,技术壁垒相对而言并不高。而更重要的是平台运营能力,包含安全机制、运营规则的设计、项目风险管理等等,不同行业领域,不同安全需求场景,在项目实施、平台运营过程中不可预见的风险和经验,不是一朝一夕就能建立起来的。比如,平台的功能界面可以提升的空间很大,每个功能和机制的设计,后端其实需要很多规则和机制来支撑,所以面向用户端,我们遵循的是极简主义的原则设计的。比如缩短流程方面,我们会让用户在使用平台和处理相关安全问题,更简单理解,降低沟通和运营成本。但我们会把问题分解的非常清楚和细致、通俗易懂,客户拿到结果就能解决。

安全牛:刚才我们谈到了与其他平台的区别和你们的竞争力,现在有来自客户方面对你们的认可反馈吗?

杨蔚:我们一直处于积累经验的阶段,从年初重新组建团队到现在,在没有做任何的正式推广的情况下,我们已经积累了很多行业,业务场景的服务解决方案,也开始通过跟行业内产品团队,以服务驱动产品闭环落地,包含五大安全需求场景,8个行业领域的服务解决方案的落地,加上互联网众测服务,我们已经有好几年的经验积累结合形成一定的差异化,企业用户收到的反馈也挺好。有些企业用户也是其他友商的老客户。

我们会持续在这个细分领域投入,提升我们的竞争力。大家都知道传统的安全服务收费都是以人天来计算,预算多的情况下,在人员投入上,也会多派高级专家,预算低的话要成单就只能降低人员的能力要求和人数要求。我们的运营模式与其他团队不一样,奖励机制也很不一样。我们会尽量让客户的钱花得值,按照我们用户给我们反馈的就是在“同等预算的情况下,我们效果好,交付快;同样人力投入的情况下,我们有超高的性价。”,同时我们让客户全程参与体检过程,有专人负责质量把控和解读,发现问题第一时间通知客户,并修复问题。我们会站在业务的角度思考问题,同时也会站在用户的角度思考问题,这样更能突出我们的价值和优势。

而且,我们也听到部分用户反馈,如果服务流程相对过长,用户体验会相对差一些。,漏洞发现到交付的过程会非常长,这块相反是我们的优势,我们发现问题到企业处置漏洞,大部分互联网客户基本都能做到高危不隔夜,比如,一些客户我们一晚上发现近百个漏洞,不到24小时已经修复了一半。我们也有一些行业客户也会担心漏洞滞留时间过长,会担心带来很多隐患和风险。

五、要做安全服务的独角兽

安全牛:即懂业务,又要缩短流程,还要更好的能力,那你的成本岂不是很高?

杨蔚:安全体检是定期做的,无论是安全刚起步的企业还是已经比较成熟的企业,我们的合作分几个场景,新产品上线前的测试;在原有安全能力基础上做补充,查漏补缺;面向业务快速迭代的互联网行业,可以提供高性价比的测试服务;还有现在不少企业会选择项目测试比较,甚至设置奖金池,通过技术比分来最终决定项目分成。

只要让客户觉得能力强,能解决问题,效果好,愿意长期合作,甚至介绍其他客户给我们。而且体检完了还会有其他机会去做更多事情,比如培训,再加上我们人员的效率比较高,所以成本还是Hold的住。

安全牛:现在都有哪些客户,能承受多大的业务量?

杨蔚:公司现在才二十人,已经积累服务了近40家企业客户,十家上市公司,还有互联网、央企、运营商、传统金融等。服务能力的话,如果不考虑商务成本,有资源池的支持,结合现有合作的签约安全专家,一年可以消化上千个项目。比如,现在我们的方案可以和云作对接,云上海量的客户需求下个订单,我们能做到两天交付。而未来企业规模再扩张,随着服务产品化机制的建立,再多的项目也能消化,接下来我们会重点拓展渠道市场,在行业和业务规模上发力。 针对典型行业领域的客户,我们可以试用,先签署授书权,我们提供服务,如果满意可以达成深度合作。

安全牛:谈到未来,你们的公司愿景是什么?

杨蔚:安全服务行业目前并没有独角兽级别的企业,这是因为原有的模式和机制造成的天花板比较低。如果有了合适的模式和机制,加上大环境的发展,还是有可能成就独角兽公司的。我们团队的内部目标,就是想做一家安全服务领域的独角兽公司,打破服务不可复制的魔咒。

国内的安全服务,问题在于拼的是人,一年做一百个项目都会非常累,现有市场的安全服务项目,提供纯粹靠人天的方式,服务团队会非常辛苦,即使有再庞大的安全服务团队,要做海量的服务项目,会非常吃力。所以刚才我谈到服务要产品化,解决掉一些耗费时间的关键环节,比如减少流程化,并形成一套标准化的服务,提高服务质量,降低沟通和管理成本,让用户普遍认可你的价值,这样天花板就会变高,我们接下来会跟资源池,例如云平台建立合作,解决海量的安全测试需求,以更好的服务体验满足云上的需求,解决大型云平台自身难以解决的问题。

我们通过安全众测服务模式相对传统安全服务项目周期快,检测项多,风险覆盖面广,更适合在短时间内快速挖掘目标用户安全风险进行需求转化,通过对已知安全漏洞进行业务层分析,撬动企业管理者的重视程度。以服务撬动客户需求,实现安全精准营销。当然,我们一直在努力!

安全牛评

安全服务一定是未来,这种观点已得到业内的认可。但在这个方向的具体道路上,不同的人有着不同的理解。而服务产品化,是一个不错的思路。不过,相应的人员水平要求,技术环境的支撑,以及用户的接受程度,都是需要解决的关键问题。

相关阅读

众测模式争议中需要深度思考的三个事实

补天推出众测新方案 它有哪些不一样?

Hackerone:漏洞众测的未来会生机勃勃

 

分享:
0

相关文章

写一条评论

 

 

0条评论