△火线创始人 邬迪
众测源于用户对测试覆盖度和深度的要求提高,自2012年产生以来,已经发展为互联网企业的标配。众测的模式能激励众多白帽安全专家参与测试,测试覆盖度和深度都能得到保证,漏洞挖掘效果相对较好。企业业务信息系统能在火线众测的加持下提前检测出漏洞风险,以防止业务受到影响。
火线安全平台是国内知名的众测服务平台,连接着有众测需求的企业与有技术的白帽子安全专家。可信的白帽子的数量与质量是众测服务品质的保证,因此,火线自成立以来便一直在“可信、智能和成长”上发力,以期为企业提供可靠的高效的有深度的众测服务。
解决白帽子身份信任问题仍然是众测业务的关键
邬迪坦言,很多互联网企业在刚开始接触众测时,会对白帽子们的身份方面提出疑问。企业会担心白帽子测试过后把漏洞信息泄露,或是私下交易“在我们看来,参加众测项目的白帽子和那些真正做黑产的人是不同的,他们属于两类完全不同的群体。”
此外,通常企业只能够在项目结束后知道收到了多少个漏洞,相当于做过一次体检之后,体检机构只告诉你身体这里存在问题,但其他地方是否存在问题我并不清楚,这样企业往往也很难找到安全感。因此,邬迪带领团队成立了火线安全平台,希望通过创新运营机制,为白帽子们和企业解决身份信任的问题,为双方搭建友好协作的桥梁。
专注于三件事:可信、智能和成长
邬迪表示,自己将火线安全平台成立至今的工作总结为三点:可信、智能和成长。
“在火线安全平台成立之初,我们做了一件违反业界常识的事情,大家都知道黑客是喜欢匿名的,但我们是业内第一个做强实名认证的白帽子社区。或许业外的人觉得我们很奇怪,但是我们自己坚持认为,如果想要给企业提供可信的安全服务,就必须建立在实名制的信任基础上。如果企业连你是谁都不知道,你是做什么的都不知道,怎么敢放心让你们来做众测?”
火线安全平台中的白帽子们需要通过严格的邀请审核,白帽子除了要提交身份信息验证外,还需要在参与众测项目时通过人脸识别认证,签署严格的保密协议,去规避开以往那种提交虚假身份信息,或是账号冒用的情况,以最大力度来建立企业与白帽子之间的信任桥梁。
“智能”则是指火线安全平台为白帽子们搭建了一套众测的数据服务平台。“从我们多年的从业经历来看,无论是在众测、渗透测试还是模拟攻防演练中,其实攻击方大量的时间和精力都耗费在了前期的信息收集工作上。如果项目方是一个大型的集团企业的话,前期的信息收集更是费心费力。但我们认为信息收集这样的基础工作不应该是白帽子来做的,它应该是标准化、工具化和自动化的。”
因此,火线安全平台将入驻火线的所有企业的信息资产进行了自动化的收集整理,将企业的域名信息、工商数据、服务数据证书、URL邮箱、App等信息直接呈现在白帽子面前。这样白帽子在众测项目开始后就可以直接对这些资产进行安全检测,极大地提高白帽子的工作效率。
此外,火线还打造了业内首款“无代码扫描器”工具提供给白帽子们使用,将业内熟练的漏洞扫描工具拆分成一个个小的模块,白帽子们只需进行一些拖拽行为就可以组成新的检测策略加以使用,这也对白帽子们检测效率的提升有很直接的帮助。
最后一件事,“成长”则主要是围绕白帽子们能力培养展开的。邬迪表示,火线安全平台成立了一个技术交流社区,会定期将社区里的活跃白帽子们,以及国内外的优秀白帽子们组局聚到一起,共同分享攻防技术和实践经验,让大家在实践中互相学习和成长。
邬迪最后谈到,“我们希望能够通过一些产品、工具和服务为白帽子们在参与众测项目的过程中提供更多的帮助,让有限的白帽子们在更大程度上发挥他们的价值。我们希望通过一些技术创新、理念创新帮助企业建立对白帽子的信赖,让白帽子们从中得以成长,同时吸引更多的安全爱好者们加入,白帽子群体的壮大,也会推动整个行业向更好的方向发展。”
京公网安备 11010802033237号
