今日,斗象科技推出企业SRC(安全应急响应中心),一方面让企业快速发现漏洞,另一方面让白帽子快速获得收益。联想集团安全应急响应中心也在发布会上正式入驻漏洞盒子企业SRC。 近年来,企业安全漏洞引发的事故频频发生,往往带来直接或间接的经济损失,SRC于是应运而生。简单的说,SRC就是企业连接白帽子的一个平台,企业可以在平台提出自己的安全需求、展示奖励力度等,吸引白帽子帮企业发现并提交漏洞,以提高安全防御能力。 目前,国内百度、阿里、腾讯、360、唯品会等互联网公司自建了SRC,解决之前白帽子报洞无门的问题,但大多数企业并没有这个实力。一是因为缺乏安全技术积累以及与白帽子直接对接的机制和渠道,二是SRC建立容易运营难,atv,搭建后需要投入大量人力物力进行漏洞审核、跟踪修复、技术运营等工作。 斗象科技联合创始人CTO张天琪谈到,“对于大企业来讲,资源虽然不是问题,但SRC毕竟不是核心业务,投入有限。而中小企业本身资源有限,重业务而轻安全是普遍现象,在安全当中的投入非常之有限,且人员配备不足。” 为了帮助更多企业建立SRC,斗象科技推出企业SRC产品,企业注册后可以在平台建立自己的主页,添加公告、发布运营信息,比如漏洞测试范围、测试时间、有效的漏洞类型、处理周期、奖励额度等,向白帽子传达自身的安全能力和态度。白帽子则可以通过平台,自行选择企业进行漏洞发掘和提交。 漏洞盒子在漏洞管理和处置体系方面拥有三年的实践经验,针对企业SRC运营成本较高、软件设施不全、宣传效果不好、人员流动性大、平台稳定性不强、团队技术性不强、漏洞响应不够及时等问题,漏洞盒子企业SRC提出了自己的解决方案。比如通过专业SRC安全运营团队,为企业提供漏洞规范、审核与漏洞生命周期管理,同时建立国际漏洞审核标准CVSS系统为标准,并帮助企业SRC进行持续的宣传、白帽子KOL管理等活动支持。 具体流程一般是,白帽子在平台提交漏洞后,由平台或企业自行来审核漏洞,核实后再发放奖励。此前,漏洞审核流程周期一般在1~3个月,漏洞修复后再发放奖金。而白帽子通常会在确认漏洞后,急于知道奖金额度及发放时间,会不停催促询问漏洞盒子官方,官方又会来催问企业,中间耗时耗力。因此,漏洞盒子企业SRC平台将奖励发放调整到漏洞确认环节,整个流程缩短至1~7天,另外需要厂商在平台公布自己的奖金设置等级及额度。另外,平台还会根据漏洞有效性、级别、报告质量、涉及资产范围等维度进行计算,进行积分和奖金的排名,以此激励白帽子。 我们此前报道过,斗象科技由互联网安全社区和媒体Freebuf脱胎而来,旗下产品“漏洞盒子”可以看成是中国版的Hackerone,类似的平台有美国的 HackerOne、Bugcrowd、Synack等,开奖,还有国内的乌云众测、威客众测、补天、白帽众测等。 目前,斗象科技已经沉淀了35000个“白帽子”资源,其中大部分来源于Freebuf社区。社区一方面利用媒体和社区的优势,吸引了大部分白帽子资源,另一方面,也通过培训和“漏洞检测”大赛的模式,提高白帽子的技术水平。 (责任编辑:本港台直播) |