阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2837阅读
  • 0回复

[安全漏洞公告专区]2O年了,用户对众测了解多少?

级别: 小白
发帖
29
云币
49
“我们为什么要做安全测试 A}(xH`A  
我们有己的安全团队了” 7gX32r$%V  
Au2^ T1F  
若在5年前 B>u`%Ry&  
10个用户中, w,1N ;R&  
会有8个问这个问题 ;MfqI/B{  
,2AulX 1  
到现在,企业慢慢意识到 FK BRJ5O  
真正的强大,是正视自己的弱点, N XB8u6  
在企业安全领域,尤其如此。 CI*JedO]  
{aE[h[=r  
?y|&Mz'XJ(  
因为世界上没有100%安全的业务系统, ww|fqx?  
大部分的安全隐患都是由企业自身的安全漏洞而起。 /  Xnq0hN  
即使是那些看起来最无法攻破的堡垒。 V lZ+x)E  
SU%O\ 4Ty  
C6ql,hR^h`  
去年,特斯拉公司的CTO 在DEF网络安全大会上, CH7a4qL`  
对发现了Model S六个高危安全漏洞的人说了“谢谢”, GW {tZaB  
感谢他们为特斯拉产品的改进做出贡献。 aG1Fj[,  
今年3月,Uber(优步)也发起了 Gza= 0  
“捉虫奖励”计划(Bug Bounty) 1F.._5_"]  
用最高1万美元的赏金, qiOtbH=  
奖励能报告Uber系统漏洞的人。 [Or1  
}w)}=WmD  
Vg62HZ |  
zd$'8/Cq  
&pK0>2  
事实上,"捉虫项目“(BugBounty Program)已经在美国风行了20年,成了耳熟能详的“众测”代名词。它的创造者是网景通讯公司(Netscape Communications Corporation)的原技术工程师Jarrett Ridlinghafer。从1996年到现在,Facebook,Google和雅虎就是“众测”的支持者和践行者。目前为止,众测仍然是全球范围内,性价比最高、效果最好的安全测试模式。 U*nB= =  
Kmx4bp4  
P)VQAM  
/yU#UZ4;  
Observer网站统计:美国悬赏最高的12大“捉虫项目” shB3[W{}!)  
d/GSG%zB  
WG,Il/  
kRggVRM  
p#c41_?'e  
}^I36$\  
Xf ^_y(?  
b!t[PShw^  
9@qkj 4w  
为什么全球越来越多的企业开始 dLqBu~*  
从自己找漏洞,转向主动发起众测, :V$\y up  
或与专业平台合作众测? )E9c6'd  
Y4YZM  
因为 wv3*o10_w8  
.Z]hS7t  
“众”的力量, nK< v  
远远大于个体。 %i7U+v(d  
3LyNi$`f  
我们将众测来和以往的渗透测试做个对比。传统的渗透测试模式中,1-2名测试人员,花费5天的时间,有时只能帮企业找出一个高危漏洞。而企业往往要花费高达10万元的渗透测试费用。因为测试人员少,没有竞争,发现的问题往往不够全面;很多掩藏的问题,在上线之后才慢慢浮现,带来更大的损失。 z,ryY'ua/I  
Sa)sDf1+`  
而悬赏式、项目式的众测,企业往往能规定自己的测试范围,挑选自己的测试人员,专业的厂商和白帽子们会在奖励和竞争的驱动下,发挥出更大的功力。 RKzO$T  
1z|bQ,5  
Sg%s\p]N_#  
z\FBN=54z  
而对于国内企业用户, &g}P)x r  
“防患于未然”的意识仍需加强。 {oOUIP  
#Fo#f<b p  
据安恒信息2015年《中国互联网站安全报告》统计,在我国内地的7,650,087个互联网站点中,能检测出15,291,010个安全漏洞,SQL注入漏洞占比最大。 *Mg@j;+5s  
lA4-ZQ2Zp[  
zT}vaU 6  
数据来源:安恒信息 ;d>n2  
pC,Z=+:  
Rkg)yme!N  
" ;Cf@}i>  
8wO4;  
34CcZEQQ  
H9'psv  
很多国内用户会为众测的费用或者规范性担忧,这情有可原。 ~u!V_su]GY  
CN` ~DD{  
然而,对于费用问题,很多用户已经发现:其实众测的投入,远远小于灾难后带来的金钱和名誉损失。所以,阻止国内用户选择众测的根本原因,就是不知道如何选一家靠谱、规范的众测方。 vC1fKo\p  
xC5Pv">  
gP|-A`y  
jLn#%Ia}  
为了解决这一“世纪难题”,给大家梳理几个选择众测平台的关键词:平台私密、人员可靠、协议授权、规定范围、相互信任。 J:'_S `J  
0datzEns`  
G*_]Lz(N  
X'\h^\yOo  
UsA fZg8  
J9t?;3  
ab9ecZ  
选择“私密”的平台。 /? d)01  
.* `]x  
私密是选择众测服务商的第一标准。这意味着你的漏洞在整个测试过程中不被恶意炒作,或被曝光。 ^uG^>Om*  
S W6oaa81  
如何确定你选择的众测方是私密的?平台机制决定着一切:例如平台如何审核白帽子的资质、是否有保密协议、授权形式、平台是否对用户的资产抱有敬畏之心。 E_'H=QN c  
_pb*kJ  
4P5^.\.  
SAitufS  
C6F7,v62  
7*M-?  
B#IUSHC  
可靠的测试人员 %A3m%&(m&%  
1_!?wMo:f  
众测的平台的好坏,首先取决于人。 nC[aEZ7  
RhB)AUAj  
第一,白帽子和安全厂商加入众测平台需要有可靠的实名认证 —— 并非只是查查证件照片即可。目前国内含金量较高的认证方式,是通过支付宝进行实名认证。 vm;%713#1  
N<b2xT  
其次,对白帽子在众测过程中的行为进行审计,发现在众测过程中的风险行为。 mT-[I<  
zx$1.IM"4  
再次,惩罚机制,如果有白帽子违反协议,平台绝不能睁一只眼闭一只眼。 'wYIJK~1  
- 7T`/6  
选择众测平台的时候,不要只问:“能帮我找出多少个漏洞”;更要问问:“你们的测试人员从哪里来?如何管理?” jTg~]PQ^  
Sx J0Y8#z  
|/xx**?  
R{Zd ]HT  
.hG*mXw>  
aaKf4}  
Ua:@,};  
_()1 "5{  
“授权检测”和“指定范围” sCt)Yp+8}B  
1|w@f&W"  
一个正规、私密的众测平台是严守这两个标准的。 %GY'pQz  
OE0G*`m  
如果有平台联系到你说:“哥们,我们帮你做个众测”吧。千万不要觉得你随口答应,他们就可以行动了。协议授权才是硬道理。 p[xGL } +\  
eC%Skw  
授权后,测试人员只会在“指定时间内”,对用户规定的“绿色地带”进行测试,并不会对用户的业务产生影响、甚至曝光其漏洞。 J]Z~.f="  
Z|x|8 !D  
h/{1(c}  
8TAJ#Lm  
 iKd+AzT  
1|"BpX~D  
信任那些善意的人 o<3$|`S&  
,e9M%VIu6[  
国内许多企业用户对测试人员有种“不信任”感。而平台作为纽带,有责任去形成规范,改善这种“不信任”。 =+wd"Bu  
q!'p   
换句话来说,如果众测平台做到了前面提到的四点,也就是“私密测试、人员可靠、授权测试和指定测试范围” ,那么用户要做的,就是信任平台,和平台上的测试人员就够了。 "|1iz2L  
.?QYqGcG  
白帽子、用户、平台,三方相互信任,才是合作的良性循环。 sfr+W-7kx  
6MY<6t0a  
eZU9L/w:  
p)iEwl}!j  

E}S%yD[  
o.fqJfpj  
K6-M.I  
私密、授权、审计,一直是阿里云盾先知的核心能力。 Q*%}w_D6f  
G'G8`1Nj  
HW~-GcU-o  
a= j'G]=  
企业加入先知后,可自主发布奖励计划,激励先知平台的白帽子或者安全公司来测试和提交企业自身网站或业务系统的漏洞,全面发现安全问题和风险,按漏洞效果付费。 =iKl<CqI$E  
lcm [l  
阿里云安全专家免费进行漏洞审核,若确认为该企业的漏洞,先知计划将会通知您过来查看和修复漏洞。 >god++,o  
?hkOL$v<9}  
在行为审计方面,大数据能够实时感知测试人员的攻击行为及路径,判断测试人员的操作是否符合平台规则,并将分析结果展示在云端控制台上,为企业提供参考。 L0!CHP/nRS  
_,T 4DS6  
先知也承诺不公开任何漏洞标题及细节、不进行任何漏洞负面炒作。 =8?Kn@nMN  
HVHv,:bPo  
}/ vW"&h-  
随着《网安法》二审稿发布,相信国内的安全测试环境会走向一个良性循环。而作为平台,需要在规范性上做的,还有很多,希望一起共勉,给用户更多的安全感。 m:?"|.]  
vsj4? 0=  
4_=2|2Wz[  
+ tMf&BZ  
关键词: 安全测试
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)