火线安全平台邬迪:做众测的基础设施 让白帽子和甲方共同获益

首页 / 业界 / 人物 /  正文
作者:laos
来源:安全419
发布于:2个月前
近两年的网络安全行业,诞生了众多的“新玩家”,一家家初创企业如雨后春笋般的浮现,今天文章中的主角——火线安全平台也是其中之一。刚刚过去的一个月中,他们度过了自己一周岁的生日,这引起了安全419的兴趣,因为白帽子平台其实并不少见,而这家年轻的公司相比对手又有何独特之处呢?我们此次邀请到了火线安全平台的创始人——邬迪来到安全419人物栏目,看看他在做白帽子社区这件事情背后有怎样的洞察和思考。
 


 
为何选择创业成立火线安全平台?

邬迪告诉安全419,早在2012年,就职于深信服的他便已开始接触到众测这个在当时尚处在萌芽期的领域,自那开始,在经历了多年的历练和思考后,他认为时机成熟了。

“这几年来,国家对于网络安全的重视程度有了显著提高,并且具有侧重于实战的倾向,我们所说的渗透测试也好,还是攻防演练、红蓝对抗也好,它们都是实战化的表现形式,从行业的大方向来看,机会已经来了。”邬迪说到。

“当然机会出来了还要看实际的需求层面,在我看来是这个行业中仍然有不少未能得到充分满足的需求,而其中的重点是两个,一个是甲方和白帽子之间的信任问题仍然没有解决,另一个则是在平台的角度上看,平台方并未给到白帽子充分的赋能,而只是充当了一个简单的任务发布的角色。在项目的测试过程中,平台对白帽子的帮助也是少之又少,尤其是在技术层面,我认为这里面其实是有提升空间的,而且很大。”

2020年4月,火线安全平台正式成立。

“其实从外面的角度看,火线安全平台和其他众测平台都是差不多的,仍然是平台先发布项目,然后开始众测,但从内在的核心层面看,我们同大家普遍理解的那些众测平台会有较大的不同,尤其是在赋能这个层面看,我们认为自己相比以往的模式有不小的创新。”


火线安全平台如何解决甲方与白帽子间的信任问题?

关于众测,甲方和白帽子之间的信任问题是长期存在的,当前市场中众多的众测平台其实也都在致力于解决这个问题,普遍使用的基本都是各家自己的白帽子认证体系,而火线安全其实也不例外。

同大多数众测平台一样,入驻平台的白帽子都需要和平台签订一份协议,火线安全的团队则在此基础上,根据此前在行业中积累的经验进行总结和创新,打造出自己独特的认证体系。“首先,火线安全在传统的实名认证基础上,还增加了生物识别手段来进一步的辅助提升认证的真实度和可靠度,在白帽子参与平台一个测试项目的整个过程中,平台不只能够知道有谁参与,还能确保参与的白帽子是其本人。”邬迪介绍到,“同时,我们还可以保证每一个白帽子所能参与的项目都是经过了充分的授权,且每个项目都会单独签署一份在线的独立保密协议。”

上述内容其实仅仅只是火线平台解决信任问题中的某几个环节,由于涉及到商业运作层面,邬迪暂时并未透露更多信息,但显然,火线安全已经建立了一套行之有效的解决方案,并得到了平台中广大白帽子群体的深度认同。



火线安全平台如何为白帽子赋能?

前文提到,邬迪对于平台赋能白帽子有着自己的思考,而在火线安全平台中,也能够看到邬迪正在将自己的理解与认知在平台中落地。

“白帽子做测试时的整个渗透过程,是由多个阶段串联起来的,我们会选择将这些阶段进行拆解,如确定目标、信息收集一直到后面的渗透测试等等,围绕着这些不同的阶段,将其中的模块工具化,然后会把这之中一些相应的数据进行收集和整理,甚至还会进行二次分析,然后去给到参与项目的白帽子们。”邬迪解释道。“这样做的结果,就是我们作为平台方,已经提前筹备好了与项目相关的一些数据和相应的工具,当参与项目的白帽子在做测试时就可以拿来使用,这对他们提升效率有着很直接的帮助。”

这种方式,改变了以往众测平台通过只是作为撮合交易者的身份出现在甲方和白帽子中间的方式,而是更深程度的参与到整个项目测试过程中来,使得众测项目的效率和质量都得到大幅提升,让甲方与白帽子群体都能够从中获益。

按照邬迪的说法,白帽子在一个众测平台上参与某一个涉及大公司的测试项目时,如果是第一次参与,那么仅在信息收集层面就会耗费大量的时间和精力,在这方面,无论白帽子的能力高低,都是绕不过去的。“在以往,我们经常会看到一个白帽子在测试过程中, 可能前面的一个星期产出会特别少,因为大家大部分精力都被消耗在了信息收集这件事情上,而在火线平台,平台会在项目启动前期做好数据收集的铺垫工作,为白帽子节约时间提升效率。这样做的好处是,在有些项目上白帽子能在第一天就可现漏洞。”

在访谈中安全419了解到,火线安全平台在信息收集工作中做了很大的投入,他们通过和业内多家相关的网络资产公司进行合作,并积极拓宽数据源,然后在这些数据源的基础上做数据的聚合和分析,然后给到白帽子。可以说,火线安全平台将原本白帽子费时费力做的工作“抢”了过来,虽然平台因此耗费了不少时间、精力和财力,但在平台的整个运作过程中,让他们有了自己的独到之处,也成为自己的核心竞争力之一。

“简单说,火线安全平台所做的就是众测的基础设施。”邬迪强调,“以前的众测平台可能更多的还是偏向于信息发布和人员的撮合,如果当前仍然沿用这一方式,那么其存在的意义不是很大。我们会为白帽子提前做好其中的数据供应、工具供应甚至是算力供应,这才能让平台的真正价值发挥出来,并能够为平台上的白帽子提供真正意义上的帮助。”

可以看出,邬迪此前关于赋能于白帽子的思考,如今正通过自己的摸索和实践而逐步实现。


“当参与众测领域的玩家多了,由此产生的竞争将会有利于行业的发展。”

在近段时间以来,很多厂商都开始介入众测服务这一领域,并开始逐步成为安全服务中的一项标配,因而业内有观点认为,当这个领域内玩家越来越多的时候,众测的价值相比此前会有所降低。那么作为业内的一名创业者,邬迪对这个观点有何评价呢?

“关于越来越多的所谓玩家开始进入众测这个行业中来,从我个人来看,这其实是一件好事,因为如果一个行业始终只是几个玩家在参与,那么相信这个行业也做不起来。”邬迪谈到。

在他看来,当众测这件事已经逐步成为每家都在做的事情,那么在它成为标配的过程中,它的整体价值肯定是会提高的,但与之对应的是,这个行业的门槛也会提高。

当一个市场涌入大量玩家,竞争必然加强,虽然可能会更加惨烈,但也应看到行业竞争必然会刺激企业为求更好的生存而不断提升自己的能力,这种现象反而会推动整个行业更好的发展。

“最终大家拼的还是技术能力,如果你能够把平台的基础设施功能建设好,让白帽子通过它可以帮助更多甲方更快的找到真正有价值的漏洞,那么对包括众测平台在内的三方而言,都是共赢的。”邬迪表示。


“AI自动化工具会成为很好的辅助工具,但短期内无法取代白帽子。”

众所周知,安全行业中传统的漏洞检测方法主要包括漏洞扫描产品和白帽子渗透测试两大类,漏洞扫描产品的检测能力主要基于规则来实现,但对复杂的业务逻辑漏洞基本无能为力。所以这部分漏洞更多是要依赖白帽子渗透测试来识别和发现。但随着AI自动化技术的发展,业内一些新兴的安全技术厂商和团队开始投入做AI自动化漏洞检测方面的研究,相关安全产品也逐渐表现出来了强势的业务漏洞发现能力,这一趋势是否会对白帽子乃至众测这一方式产生较大的影响,甚至取代呢?

在邬迪看来,现在谈论AI自动化漏洞发现是否会取代白帽子还为时尚早。他表示,“渗透测试本身是一个多阶段、多步骤的过程,如果将其拆开,在某一个阶段或某一个步骤上,通过AI自动化工具来完成是有这个可能的,但对于整个过程而言,AI仍有其局限性。”

AI自动化工具在当前更擅长的是在一些封闭环境下去解决问题,而渗透测试的每一个阶段,都会有一定的开放性,当遇到这种情况时,它很有可能就会绕过去,那么一定会影响到最终的测试结果。

“如果说现在我们谈论AI工具可以实现将整个渗透测试过程完全自动化,我个人认为难度太大了,就当前而言并不现实。”

在AI自动化工具是否可以成为白帽子辅助工具这一问题上,邬迪给出了肯定的答案。“无论在一些重复性很强,还是复杂性很强的工作场景下,利用自动化工具可以极大的提升效率,这是毋庸置疑的。”

回到前面的问题,无论是AI自动化工具产品,火线安全平台能够输出的各种能力,本质上都是赋能于白帽子们更好的完成渗透测试这件事情。


“白帽子的工作是探寻未知的过程,而最终的成果可能是零。”

在邬迪看来,渗透测试是一个挺苦的工作。

“其实找安全漏洞,就是一个探寻未知的过程。”邬迪谈道,“它不像软件开发,只要第一行代码写出来都代表有成果显现,是属于生产性质,而渗透测试则是检验性质的工作,在开始测试前甚至是测试过程中,都无法判断是否一定会找出漏洞,很有可能连续工作几天下来,成果仍然是零。”

很多白帽子在做渗透测试这个工作的周期往往也就是3-5年的时间,为何如此短暂,也许这种时不时会出现的投入和成果的不成正比甚至呈现强烈反差,就是“罪魁祸首”。

在访谈的最后,邬迪也表示,他将会和他的团队一同努力,在未来一种技术的形式,通过火线安全平台的能力输出,为白帽子在参与众测项目、做渗透测试的整个过程中提供更多的帮助。

能够看到,为白帽子“赋能”是火线安全平台的主线,正如邬迪所言——甲方、白帽子、平台三方共赢才是最好的结果,而平台在其中的价值就是帮助上述二者更好的连接。

关于火线安全平台的未来,我们能感受到邬迪还有着很多的想法,但放在当前讲出来,还是有些为时过早,因为重要的不是说什么,而是做什么。我们也在此期待他和他那支年轻的团队能够在未来带给我们更多惊喜。