发布时间:2019-5-29 分类: 电商动态
摘要:漏洞框上的安全专家是否曾经做过黑客攻击,平台实际上无法知道,如果你可以通过完全依靠技术发现漏洞给这些黑客提供赚钱的合法机会,从“黑客攻击” “白帽子”转型似乎越来越容易。
文/B12队苏伟
“充足的眼睛可以使所有的问题暴露出来。 “这是Linux创始人Linus· Tovarz的着名评论,它甚至成为计算机技术领域的”Linnas“法。然而,这句话正遭受着前所未有的挑战。
2014年4月,OpenSSL打破了Heartbleed漏洞,该漏洞可用于窃取敏感服务器信息并实时检索用户帐户密码。世界上三分之二的Web服务器使用OpenSSL软件,使这个漏洞成为近年来受影响最大的高风险漏洞。
OpenSSL应用程序非常广泛,存在严重的漏洞。即使有很多眼睛盯着,但由于被忽视,漏洞可能仍然处于危机之中。互联网漏洞测试平台“漏洞框”的创始人袁劲松认为,“林纳斯定律”并不全面:除了足够的眼睛,还需要一个足够好的奖励机制。漏洞框的做法是利用激励措施将世界各地的黑客联合起来,并使用众包来解决互联网安全问题。
从Freebuf到漏洞盒子
还记得“互联网+”铁锹事件吗?今年5月27日,支付宝面积很大,计算机和移动终端都无法转账。原因是杭州萧山区电缆被切断了。这反过来又导致了支付宝主要计算机房的影响。没想到,另外一件事发生在携程网站内部员工意外删除的代码中,携程网站整体停机时间为12小时。在数据泄漏方面,国内互联网公司更是“你为我而战”,不相信以下图片:
这些厂商都有过泄露数据的不光彩历史
在《信息安全与通信保密》的一份报告中,一份专业杂志称,2012年,中国网络安全产业达到216.4亿元,同比增长20.9%。袁劲松认为,现在是安防行业发展的好时机。在他开始创业之前,他在携程网担任安全经理,现在还在2010年。那时,他业余创办了互联网安全交流论坛Freebuf,聚集了大量热爱互联网安全的白帽子。所谓的“白帽”是指利用网络安全专业知识深入研究和利用计算机和网络系统漏洞的人。但是,与黑客不同,它们不会造成任何损害,并会告知管理员漏洞和修复方案。 。
在Freebuf受欢迎之后,2014年,袁劲松与百度,阿里和华为等多家合作伙伴共同创建了一个漏洞框。
把全世界的黑客联合起来
互联网公司自然需要安全服务,但即使对于大型互联网公司,安全人员也分散在不同的业务部门,更不用说小型互联网公司。漏洞框的实践是利用共享经济的想法将黑客联合起来并采用“众包”方法来解决安全问题。
在硅谷,超级互联网公司谷歌安排自己的顶级安全分析师组建一个互联网安全项目Project Zero,该项目组织了一群黑客精英,专门发现谷歌和互联网的安全漏洞。 。漏洞框的白帽团队聚集了世界各地的技术精英。 “一家大公司的业务部门,负责安全测试的工程师人数超过十几人,我们可以在这里接触数千名参与测试的人。”
在漏洞框的平台上,这些安全专家将根据各自的专业领域进行标记,之前提交的漏洞记录也有助于完善此类用户图像。
在漏洞框中,测试项目的过程通常是制造商启动要测试的项目,然后漏洞框将为制造商建立一个由安全专家组成的测试团队,然后测试人员提交一个安全漏洞供应商,供应商传递漏洞。对盒子平台进行审查和处理。最后,供应商将根据漏洞评估的结果向测试人员发放奖金,漏洞框还将为供应商提供详细的安全报告。在费用方面,根据漏洞的数量和评级收取费用。如果未发现漏洞,则不会向公司收费。
在这方面,企业不可避免地担心项目信息的机密性。为了确保产品测试过程的机密性,对于所有高级项目测试,漏洞框将是真实姓名测试人员的身份,联系信息,姓名等,以确保在项目期间不会泄露有关项目方的信息。测试过程;其次,对于项目安全级别要求高级项目测试,漏洞盒或供应商将提供网络映像流量,VPN等,以确保整个过程中审计员的行为。对于测试结果,未经制造商和平台许可,测试人员不得透露测试过程和结果的任何细节,否则他们将承担责任。
事实上,白帽子和黑帽子,他们的预分析,获取漏洞的过程几乎是难以区分的,白帽子会说他们是白帽子,但黑帽子从不说他们是黑帽子— —差异只是最后的漏洞使用它的方式是不同的。
袁劲松表示,对于漏洞框上的安全专家是否曾经做过黑客入侵,该平台实际上是未知数,但参与黑客地下产业链的法律风险非常高。如果这些黑客可以依靠技术来发现漏洞,他们就可以赚钱。正确的机会,从“黑客”到“白帽子”的过渡似乎变得更加容易了 - —并且漏洞框正在做这样的事情。就像优步让那些守卫公交车站和火车站的黑车司机去阳光下开始正常赚钱。漏洞框等平台也使黑客隐藏在网络的渐晕中有一个自洗白色。机会——电脑插在互联网上,用技术查找漏洞,就可以谋生。
「未来会出现一家改造行业的公司」
使用“众包”解决安全问题不是漏洞框中的第一件事。事实上,早在2012年,着名的漏洞平台就推出了“Uyun Cloud Survey”。通过邀请顶级白帽模拟黑客来测试网站,系统或产品,公司可以快速调查各种安全风险。然而,黑色云平台上的开放漏洞也使其成为一个致命的漏洞:2012年,暴露运营商漏洞的黑色云被暴力撤出,因为它拒绝删除漏洞; 2014年,黑云遭遇了疯狂的DDos攻击并趁机冻结了18个小时;在同一年,它被SAE云计算平台和hellip莫名其妙地阻止了;…
但是,在商业化的道路上,漏洞框的步骤更加扎实。该漏洞框认为,与广义上的暴露漏洞或漏洞相比,企业需要更严格,系统和专业的服务。为此,袁劲松在中国建立了顶级的企业服务工程团队。除了供应商暂时提交的短期项目外,Vulnerability Box还将为互联网公司签署框架协议,这些公司正在迅速迭代产品,以对其产品进行持续的安全监控。据袁劲松介绍,该漏洞盒还将于11月发布新的企业级安全测试产品,为企业提供更深入,更好的安全服务。
该漏洞盒成立仅半个月,已收到数百万天使投资。今年8月,该漏洞盒已经从金浦获得了3000万元的前A轮投资。该平台上的安全专家数量已达到2万个,其中包括一批海外白帽,测试近100个项目的客户。有许多着名的大公司,如腾讯,支付宝,360和何去何从。
日益成熟的黑客产业链使得互联网安全性从一个不太公认的领域突然增加到多金市场。 “第三方外包安全服务将逐渐成为一种趋势,将来会有一家公司改变这个行业。”袁劲松说。
