淺談網際網路眾測模式的發展之路
隨著網際網路眾測平臺、網際網路漏洞平臺(漏洞懸賞平臺)、SRC(安全應急響應中心)等多種網際網路化安全服務模式的興起,基於網際網路化的安全眾測模式被不斷地進行著概念混淆,使眾多企業使用者難以辨別幾種模式的區別,更不清楚在什麼樣的情況下選擇哪種安全服務模式更適合自身業務。今天筆者就跟大家來聊一聊網際網路模式下的幾種安全服務的區別以及當下網際網路安全眾測平臺的定位與發展。
1、 網際網路模式下的多種安全測試模式
網際網路安全眾測模式誕生於2010年,至今已在網路安全市場中執行8年,在這個過程中也通過各方能力提供者的不斷優化,衍生出多種模式,這也是為了更好的運用安全生態種各類技術專家資源,更有效更便捷的幫助企業解決安全漏洞威脅,為企業業務的長遠發展以及企業終端使用者的資訊保安保駕護航。
網際網路安全眾測平臺(以下簡稱“眾測平臺”)
網際網路安全眾測模式主要是以專案製為主,在得到企業充分認可,且拿到書面蓋章合同和授權書的情況下,在約定的特定時間對指定的測試範圍和產品進行安全測試。測試人員則是由眾測平臺的平臺方組織聚合跨地域、跨業務領域、跨技術領域的眾多安全專家,以競測的形式合力幫助企業從多方面、多維度、多視角排除安全漏洞隱患,提升客戶業務安全軟實力。而在入圍的安全專家選擇上,主要有開放式、邀請制和內部自有力量支撐三種,以單人或團隊形式參與。
網際網路漏洞平臺/漏洞懸賞平臺(以下簡稱“漏洞平臺”)
漏洞平臺模式主要是面向社會公開各類安全漏洞資訊的網際網路平臺。各機構、各企業以及個人都可以在通過漏洞平臺運營方完成專案稽核後,將自己的專案及專案有效期在漏洞平臺上進行公佈等待測試結果的反饋。同時,所有具備漏洞挖掘能力的安全專家、安全組織、公眾個人都可以在通過漏洞平臺身份認證後註冊成為能力提供者之一,並按照各類漏洞平臺的獎勵規則獲取響應的報酬。
安全應急響應中心(以下簡稱“SRC”)
SRC模式一般是業務相對較為成熟完善的企業,由企業自有的安全團隊組織自身安全人才體系,建立一套屬於自己的SRC平臺。也有部分企業選擇依託於相對成熟的雲服務平臺合力建設。但不管是自建還是合建,大部分SRC建設的前提條件都是在具備技術及平臺運營能力較強的安全團隊的情況下孕育而生的。
2、 該如何更好使用網際網路安全眾測模式
上文簡述了基於網際網路模式下的三種安全測試服務,那麼在什麼情況下更適合優先選擇眾測平臺呢?筆者彙總了一下近些年各家眾測平臺公開的成功案例發現大致可以分為以下幾個應用場景。
初創企業
初創企業或者業務成長非常快速的企業,通常從運營成本考慮,更加註重業務發展和團隊成長的投入,大部分不會在成長初中期就專門培養一支具備專業安全能力的人才團隊,所以大部分業務安全的保障服務需要藉助外部專業安全團隊提供支撐。這類企業的共性就是不具備全面購買安全防護產品的預算,甚至有不少企業選擇將自己的業務託管在第三方IDC或雲服務平臺上,沒有自己的基礎設施環境。同時,這類企業又由於業務需保持快速迭代更替,因此頻繁需要有又快又便捷且高效低成本的業務安全測試服務,以保障漏洞從發現到解決的時效性,確保業務不中斷不造成企業經濟損失。
交叉驗證
隨著網路安全的重要性上升至國家戰略層面,許多機構、企業都開始注重自身安全團隊的人才培養,同時更加關注自身企業從物理環境到基礎設施到資料流轉到應用開發再到業務應用等全方面的安全性。這一類企業大部分已經在自有安全團隊支撐下,建立了屬於自己的安全防護體系和安全防護機制,擁有較為完善的資訊保安管理組織和制度。但安全漏洞是層出不窮的,任何一個專業安全團隊也做不到100%的漏洞發現與安全防護,因此需要在現有基礎之上,通過不定期藉助眾測平臺的力量進行交叉驗證,藉助多方力量,從多種視角出發,以保障更全面的發現安全隱患與風險面。
上線測試
當下是個網際網路發展超前蓬勃的時代,在網際網路的藍海中各行各業競爭壓力都處於高度緊張,尤其是面向廣大C端使用者的網際網路業務,新產品或迭代版產品上線時間幾乎要用分秒進行計算,有的電商業務晚一分鐘都有可能給企業帶來巨大經濟損失。因此,這類企業需要在新業務或迭代版本上線前,在進行功能測試階段就快速同步完成產品全面的安全性測試。而網際網路安全眾測模式剛好是基於多人、多維度、多視角,同時針對目標開展全方面安全測試,且時效快,效率高。
結果導向
現在網路安全領域正隨著國家法規與政策的大力支援進入行業的紅利期,短短兩三年中就有數百家安全防護產品或安全服務企業新星茁壯成長。而對於需求方的企業管理者來講,面對如此眾多的選擇,且差異化不太顯著的情況下,投入與回報的衡量就成為了一大難題。有些企業直接以競價的方式,選擇報價最低的入圍。而有些企業則選擇以結果(或效果)為付費導向。而大部分眾測平臺都支援以漏洞結果和漏洞價值為主的報價體系,可以更好的滿足企業先看到結果再付費的需求。
3、 網際網路安全眾測模式未來發展趨勢
首先筆者堅信網際網路安全眾測模式在未來一定是安全測試服務中佔據主導地位之一的。儘管目前在市場應用中還是會出現因概念混淆而導致的一些理解偏差存在,但是隨著各類基於網際網路模式下的安全測試平臺的不斷完善,會逐漸拉大各類平臺之間的差異化,以便企業可以根據自身不同階段的實際需要進行更明確的選擇。
對於現在還處於成長期的眾測平臺本身,目前也存在著一些影響企業使用者體驗的問題,例如:平臺運營規則多樣化、安全專家以及專案實施過程企業無感知不可控、漏洞定級與獎勵機制不規範等。另一方面從整體市場角度分析,剛剛度過萌芽期進入成長期的眾測平臺因為各項資質或價格等因素,依舊競爭不過傳統安全大廠,從而導致很多相對偏傳統一點的中大型企業還不知道或不瞭解眾測平臺的概念及優勢。
基於這些問題,筆者想說“行生於己,名生於人”。隨著雲端計算為首的新技術的不斷髮展和企業在網際網路的暴露面越來越廣,企業自身對安全服務能力,安全測試的能力要求越來越高,對安全公司及安全服務團隊的要求也越來越高,企業自身的安全能力越來越高的同時,如何改變原有的模式和機制,提升生產力和創造力,網際網路安全眾測模式在不斷成長的同時還需要先強大自身。
專注塑造品質 · 創新引領未來
ALLSEC帶您體驗全新的安全服務模式