阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2835阅读
  • 0回复

[安全漏洞公告专区]2O年了,用户对众测了解多少?

级别: 小白
发帖
29
云币
49
“我们为什么要做安全测试 V`LW~P;  
我们有己的安全团队了” Jv D`RUh  
n s&(g^  
若在5年前 iBqIV  
10个用户中, *G,r:Bnb  
会有8个问这个问题 &- ZRS/_d>  
{ALOs^_-  
到现在,企业慢慢意识到 Y67i\U>?  
真正的强大,是正视自己的弱点, T`)uR*$  
在企业安全领域,尤其如此。 #M8>)oc  
cP8@'l@!  
1)!]zV  
因为世界上没有100%安全的业务系统, Ht%O9v  
大部分的安全隐患都是由企业自身的安全漏洞而起。 S3YAc4  
即使是那些看起来最无法攻破的堡垒。 avH3{V  
jp-]];:aPJ  
v5`Odbc=w  
去年,特斯拉公司的CTO 在DEF网络安全大会上, ^s?i&K,!  
对发现了Model S六个高危安全漏洞的人说了“谢谢”, 2pAshw1G  
感谢他们为特斯拉产品的改进做出贡献。 OY(znVHU  
今年3月,Uber(优步)也发起了 >Y&o2zJy  
“捉虫奖励”计划(Bug Bounty) Mer\W6e"e  
用最高1万美元的赏金, D{s4Bo-  
奖励能报告Uber系统漏洞的人。 ~sc@49p  
w3peG^4D_  
2&U<Wiu\}  
WFFpW{  
M.}QXta  
事实上,"捉虫项目“(BugBounty Program)已经在美国风行了20年,成了耳熟能详的“众测”代名词。它的创造者是网景通讯公司(Netscape Communications Corporation)的原技术工程师Jarrett Ridlinghafer。从1996年到现在,Facebook,Google和雅虎就是“众测”的支持者和践行者。目前为止,众测仍然是全球范围内,性价比最高、效果最好的安全测试模式。 \( xQ'AQ-  
SQx:`{O  
=DXvt5G  
6c&OR2HGqO  
Observer网站统计:美国悬赏最高的12大“捉虫项目” XY`2>7  
U>_#,j  
=;HmU.Uek%  
+l_$}UN  
auQfWO[ u  
WWYG>C[  
ph=[|P)  
gb/M@6/j  
hTbot^/  
为什么全球越来越多的企业开始 j\8'P9~%  
从自己找漏洞,转向主动发起众测, 1_.#'U>  
或与专业平台合作众测? E|Z7art  
dbLxm!;(  
因为 "t" &6\  
R!LKGiN  
“众”的力量, )hai?v~g  
远远大于个体。 Yhd|1,m9f  
T3 k#6N.  
我们将众测来和以往的渗透测试做个对比。传统的渗透测试模式中,1-2名测试人员,花费5天的时间,有时只能帮企业找出一个高危漏洞。而企业往往要花费高达10万元的渗透测试费用。因为测试人员少,没有竞争,发现的问题往往不够全面;很多掩藏的问题,在上线之后才慢慢浮现,带来更大的损失。 1)m&6:!b  
}~28UXb23  
而悬赏式、项目式的众测,企业往往能规定自己的测试范围,挑选自己的测试人员,专业的厂商和白帽子们会在奖励和竞争的驱动下,发挥出更大的功力。 T"m(V/L$W  
"A?_)=zZ  
$R<eXDW6:  
0Ti>PR5M  
而对于国内企业用户, d\ Z#XzI8  
“防患于未然”的意识仍需加强。 "i_}\p.,X  
".SQ*'Oc  
据安恒信息2015年《中国互联网站安全报告》统计,在我国内地的7,650,087个互联网站点中,能检测出15,291,010个安全漏洞,SQL注入漏洞占比最大。 RFkJ^=}  
4q<:% 0M|  
$'Hg}|53  
数据来源:安恒信息 qlg~W/  
f V.(v&  
AcF;5h  
*7I=vro  
(IR'~ :W  
Pne[>}_l/  
;G3{ e  
很多国内用户会为众测的费用或者规范性担忧,这情有可原。 u[oYVpe)IG  
\(LHcvbb  
然而,对于费用问题,很多用户已经发现:其实众测的投入,远远小于灾难后带来的金钱和名誉损失。所以,阻止国内用户选择众测的根本原因,就是不知道如何选一家靠谱、规范的众测方。 1q! 6Sny@  
O,[aL;v  
L$x/T3@  
g5to0  
为了解决这一“世纪难题”,给大家梳理几个选择众测平台的关键词:平台私密、人员可靠、协议授权、规定范围、相互信任。 l(zkMR$b8  
<S0!$.Kg*<  
b\?#O}  
bah5 f  
eeb 8v:4  
a(8]y.`Tv  
4!6g[[| &J  
选择“私密”的平台。 v(4C?vxhG  
Z#;ieI\  
私密是选择众测服务商的第一标准。这意味着你的漏洞在整个测试过程中不被恶意炒作,或被曝光。 6M$.gX G.  
;wprHXjq  
如何确定你选择的众测方是私密的?平台机制决定着一切:例如平台如何审核白帽子的资质、是否有保密协议、授权形式、平台是否对用户的资产抱有敬畏之心。 Z/uRz]Hi  
:yk Z7X&  
:N)7SYQT  
}.zgVL L  
JEBo!9  
+I\ bs.84  
n3b@ 6V1_  
可靠的测试人员 5'V'~Q%  
0#*\o1r\p  
众测的平台的好坏,首先取决于人。 ",8h>eEWK  
6nGDoW#  
第一,白帽子和安全厂商加入众测平台需要有可靠的实名认证 —— 并非只是查查证件照片即可。目前国内含金量较高的认证方式,是通过支付宝进行实名认证。 05pCgI}F>  
!b _<_Y{l  
其次,对白帽子在众测过程中的行为进行审计,发现在众测过程中的风险行为。 3y 3 U`Mo  
J;q3 fa  
再次,惩罚机制,如果有白帽子违反协议,平台绝不能睁一只眼闭一只眼。 e$>5GM  
{/0,lic  
选择众测平台的时候,不要只问:“能帮我找出多少个漏洞”;更要问问:“你们的测试人员从哪里来?如何管理?” QTn-n)AE  
Rb#Z\e}e-  
`(o1&  
(uV7N7 <1  
s:]rL&|  
x-Mp6  
q}\\p  
/CA)R26G  
“授权检测”和“指定范围” u5CT7_#)  
qo. 6T  
一个正规、私密的众测平台是严守这两个标准的。 MzG(+B  
1;:2=8  
如果有平台联系到你说:“哥们,我们帮你做个众测”吧。千万不要觉得你随口答应,他们就可以行动了。协议授权才是硬道理。 q75F^AvH  
ryn)  
授权后,测试人员只会在“指定时间内”,对用户规定的“绿色地带”进行测试,并不会对用户的业务产生影响、甚至曝光其漏洞。 \GvVs  
M$~h(3  
1  yzxA(  
38m%ifh)  
-PnC^r0L$  
'<0q"juXE  
信任那些善意的人 TN %"RL  
ii;WmE&  
国内许多企业用户对测试人员有种“不信任”感。而平台作为纽带,有责任去形成规范,改善这种“不信任”。 lz)"zV  
Z8&C-yCC  
换句话来说,如果众测平台做到了前面提到的四点,也就是“私密测试、人员可靠、授权测试和指定测试范围” ,那么用户要做的,就是信任平台,和平台上的测试人员就够了。 =_'cG:=)  
4{DeF@@  
白帽子、用户、平台,三方相互信任,才是合作的良性循环。 )RYnRC#O  
|wJZU  
)KqR8UO  
99!{[gOv  

@1F'V'  
^)q2\ YE;  
~}5Ml_J$,l  
私密、授权、审计,一直是阿里云盾先知的核心能力。 | sFe:TX  
5ZA%,pH>Jq  
cY2-T#rL  
~+#--BhV  
企业加入先知后,可自主发布奖励计划,激励先知平台的白帽子或者安全公司来测试和提交企业自身网站或业务系统的漏洞,全面发现安全问题和风险,按漏洞效果付费。 m I zBK]@^  
|)q K g  
阿里云安全专家免费进行漏洞审核,若确认为该企业的漏洞,先知计划将会通知您过来查看和修复漏洞。 iw fp'  
5FSv"=  
在行为审计方面,大数据能够实时感知测试人员的攻击行为及路径,判断测试人员的操作是否符合平台规则,并将分析结果展示在云端控制台上,为企业提供参考。 n r>{ uTa  
\5P.C  
先知也承诺不公开任何漏洞标题及细节、不进行任何漏洞负面炒作。 !/}FPM_  
A'( 7VJ  
[S]!+YBK  
随着《网安法》二审稿发布,相信国内的安全测试环境会走向一个良性循环。而作为平台,需要在规范性上做的,还有很多,希望一起共勉,给用户更多的安全感。 >J}n@MZ  
&^IcL!t[  
b#g {`E  
sJb)HQ,7x  
关键词: 安全测试
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)