“14年的時候,我們做過一個數據統計,當時國內各大社群的活躍白帽子數量大約在10萬人左右,美國同期也是大約10萬人。6年後我們又做了一次統計,發現美國的活躍白帽子約為100萬,而中國則比此前還要少。這讓我們感到十分焦慮,如果中國的白帽子數量持續下降,這就意味著網路攻防對抗的平衡會被打破,最終會嚴重影響國家與企業的安全。”火線安全平臺創始人鄔迪在9月10日由安世加主辦的金融行業安全實踐沙龍上表示。
火線創始人 鄔迪
眾測源於使用者對測試覆蓋度和深度的要求提高,自2012年產生以來,已經發展為網際網路企業的標配。眾測的模式能激勵眾多白帽安全專家參與測試,測試覆蓋度和深度都能得到保證,漏洞挖掘效果相對較好。企業業務資訊系統能在火線眾測的加持下提前檢測出漏洞風險,以防止業務受到影響。
火線安全平臺是國內知名的眾測服務平臺,連線著有眾測需求的企業與有技術的白帽子安全專家。可信的白帽子的數量與質量是眾測服務品質的保證,因此,火線自成立以來便一直在“可信、智慧和成長”上發力,以期為企業提供可靠的高效的有深度的眾測服務。
解決白帽子身份信任問題仍然是眾測業務的關鍵
鄔迪坦言,很多網際網路企業在剛開始接觸眾測時,會對白帽子們的身份方面提出疑問。企業會擔心白帽子測試過後把漏洞資訊洩露,或是私下交易“在我們看來,參加眾測專案的白帽子和那些真正做黑產的人是不同的,他們屬於兩類完全不同的群體。”
此外,通常企業只能夠在專案結束後知道收到了多少個漏洞,相當於做過一次體檢之後,體檢機構只告訴你身體這裡存在問題,但其他地方是否存在問題我並不清楚,這樣企業往往也很難找到安全感。因此,鄔迪帶領團隊成立了火線安全平臺,希望透過創新運營機制,為白帽子們和企業解決身份信任的問題,為雙方搭建友好協作的橋樑。
專注於三件事:可信、智慧和成長
鄔迪表示,自己將火線安全平臺成立至今的工作總結為三點:可信、智慧和成長。
“在火線安全平臺成立之初,我們做了一件違反業界常識的事情,大家都知道駭客是喜歡匿名的,但我們是業內第一個做強實名認證的白帽子社群。或許業外的人覺得我們很奇怪,但是我們自己堅持認為,如果想要給企業提供可信的安全服務,就必須建立在實名制的信任基礎上。如果企業連你是誰都不知道,你是做什麼的都不知道,怎麼敢放心讓你們來做眾測?”
火線安全平臺中的白帽子們需要透過嚴格的邀請稽核,白帽子除了要提交身份資訊驗證外,還需要在參與眾測專案時透過人臉識別認證,簽署嚴格的保密協議,去規避開以往那種提交虛假身份資訊,或是賬號冒用的情況,以最大力度來建立企業與白帽子之間的信任橋樑。
“智慧”則是指火線安全平臺為白帽子們搭建了一套眾測的資料服務平臺。“從我們多年的從業經歷來看,無論是在眾測、滲透測試還是模擬攻防演練中,其實攻擊方大量的時間和精力都耗費在了前期的資訊收集工作上。如果專案方是一個大型的集團企業的話,前期的資訊收集更是費心費力。但我們認為資訊收集這樣的基礎工作不應該是白帽子來做的,它應該是標準化、工具化和自動化的。”
因此,火線安全平臺將入駐火線的所有企業的資訊資產進行了自動化的收集整理,將企業的域名資訊、工商資料、服務資料證書、URL郵箱、App等資訊直接呈現在白帽子面前。這樣白帽子在眾測專案開始後就可以直接對這些資產進行安全檢測,極大地提高白帽子的工作效率。
此外,火線還打造了業內首款“無程式碼掃描器”工具提供給白帽子們使用,將業內熟練的漏洞掃描工具拆分成一個個小的模組,白帽子們只需進行一些拖拽行為就可以組成新的檢測策略加以使用,這也對白帽子們檢測效率的提升有很直接的幫助。
最後一件事,“成長”則主要是圍繞白帽子們能力培養展開的。鄔迪表示,火線安全平臺成立了一個技術交流社群,會定期將社群裡的活躍白帽子們,以及國內外的優秀白帽子們組局聚到一起,共同分享攻防技術和實踐經驗,讓大家在實踐中互相學習和成長。
鄔迪最後談到,“我們希望能夠透過一些產品、工具和服務為白帽子們在參與眾測專案的過程中提供更多的幫助,讓有限的白帽子們在更大程度上發揮他們的價值。我們希望透過一些技術創新、理念創新幫助企業建立對白帽子的信賴,讓白帽子們從中得以成長,同時吸引更多的安全愛好者們加入,白帽子群體的壯大,也會推動整個行業向更好的方向發展。”
