十万个漏洞的汇聚者--乌云
作者: 日期:2015年03月17日 阅:2,633

2010年7月13日,第1个漏洞在乌云上被提交。

2010年12月,漏洞数量达到1000。

2012年8月,漏洞数量达到1万。

2014年1月,漏洞数量达到5万。

2015年3月,漏洞数量突破10万!

……

一家由前百度、新浪、搜狐公司的安全工程师创立的漏洞提交平台,在四年多的时间里,汇聚了1万多名白帽黑客,2千多家注册企业和10万多个漏洞。

几乎所有主流的互联网公司都是乌云的注册厂商。此外,乌云还分别于2011年、2014年和今年,与国家互联网应急中心、台湾地区企业安全漏洞处理平台VulReport和公安部第一研究所达成合作,由乌云发布的安全漏洞几乎覆盖整个中国互联网。

10万个漏洞意味着什么?

在这10万多个漏洞中,最多的漏洞类型为“网络未授权访问”,说明在互联网时代,网络边界已经越来越模糊,黑客可以通过各种方式访问到各种业务系统甚至内网。其中以SQL注入的比例最高,接近1/3,且2014年的数量为2013年的2.5倍。XSS跨站脚本攻击事件排名第二,但2014年比2013年略为减少。

“基础设施弱口令”的漏洞已经接近1万个,有很多漏洞都可能对金融、运营商、交通、能源行业有巨大的风险。

随着基础设施的互联网化,安全事件迅速增加。政府、行业、企业的敏感信息泄漏事件达到3558起,其中内部绝密信息泄漏事件多达659起。因企业安全措施不当导致的用户资料大量泄漏事件达1871次,其中涉及用户敏感信息(账号密码、身份证号、银行卡号、家庭住址、个人病例及体检报告等)泄漏的比例达到24%,涉及的用户数量过亿人,且该类事件还在呈40%以上的速度在发生。

乌云都在做些什么?

乌云平台上提交的漏洞,早期以Web漏洞为主,随着移动互联网等新领域的发展,目前漏洞类型已延伸到移动端、智能硬件、无线等多个领域。通过乌云漏洞提交平台,白帽黑客可以自愿提交互联网上的安全漏洞,企业则在确认真实身份后免费注册,以便在第一时间获得与自己有关的漏洞信息。同时,为了防止漏洞被责任方忽略,敦促漏洞的快速修补,乌云规定所有的漏洞将在45天后正式公开。谷歌安全团队的漏洞公布期限是90天。

通过在漏洞查找和企业之间搭建一个通畅及时、平等交流的平台,让企业能够第一时间修复漏洞并从开放的漏洞中积累宝贵经验的同时,也让白帽子证明了自己的个人价值,并在一定程度上满足了安全人才在企业和机构之间的流动需求。2014年推出的乌云招聘免费平台,几天内就有近千名白帽子更新了个人的求职状态。

不仅如此,乌云还在大力助推着一种新兴的极具发展潜力的安全服务--漏洞众测。

众测服务是建立在互联网基础上的安全服务众包平台,由优秀的白帽子群体共同为企业提供安全测试服务。自2013年首次推出以来,目前已经为百度、腾讯、小米、锤子、知乎、唯品会、去哪儿等多家知名企业提供服务,效果明显。漏洞众测,颠覆了传统渗透测试的服务模式,正在引起国内重要行业机构越来越多的关注,极有可能形成常规性的安全服务市场。

“众测的崛起有着重大意义,意味着企业安全观的更加成熟。过去企业与白帽子的关系是正负对抗,结果往往还是负数。现在企业主动与白帽子合作,结果就成了1+N,这对整个安全行业都是好事。”--乌云网创始人方小顿

安全牛评

随着企业的互联网业务加速开展,传统安全边界将不复存在,潜在的风险会更多。我们看到国内的安全状况依然不乐观,大量企业对安全重视不够或者缺乏正确的安全建设思路。像乌云这样,数年来能够保持自由、平等和中立的漏洞平台,实属不易。希望它能够继续积极探索对企业和机构有价值的安全服务,为国内网络空间安全水平的提高发挥更大的作用。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章