企業(yè)漏洞收集平臺時下是個熱點���,從第三方的烏云漏洞平臺,到甲方的騰訊漏洞提交平臺�,網(wǎng)易漏洞平臺,再到乙方的360的庫帶計劃���。計劃和籌劃中的企業(yè)也很多����。筆者有過多家企業(yè)漏洞處理響應(yīng)經(jīng)驗�,同時也是各大漏洞提交平臺的常客��,想寫一點關(guān)于這個話題的自己理解和想法。
每個公司的企業(yè)文化和技術(shù)水平也是千差萬別�,面臨的問題也會各不相同,筆者盡量列舉通用性的問題��。說的不好地方請各位看官輕拍�。
準(zhǔn)備工作
首先漏洞修補平臺對企業(yè)來說是一把雙刃劍,在準(zhǔn)備建設(shè)這個平臺�����,我們就要做好接受可能出現(xiàn)正面負(fù)面影響的準(zhǔn)備�。這個平臺的好處是能借助外部安全力量提供很多企業(yè)無法發(fā)現(xiàn)的漏洞,壞處是漏洞平臺運營的高難度和高風(fēng)險����,因為黑客圈打交道,并不是一件簡單的事情�,很多時候是需要很多經(jīng)驗積累以及技巧的。同時一個優(yōu)秀的平臺需要有足夠的活力�,如何吸引更多白帽子來參與,而不是成為幾個老手的游樂場���,是運營人員必須考慮的問題�。還有就是相應(yīng)公關(guān)風(fēng)險也是存在���,需要有關(guān)注�。
平臺運營
漏洞平臺運營中間最核心的部分應(yīng)該是漏洞核實修補檢查和評定,而這也是最難的部分����。漏洞核實修補檢查看起來簡單,其實要想做好也是非常難的���。說簡單也很簡單不過是把提交上來的漏洞簡單處理一下就轉(zhuǎn)交給業(yè)務(wù)部門,由業(yè)務(wù)部門去修補���,甚至有的時候直接轉(zhuǎn)發(fā)業(yè)務(wù)部門���,判斷也由業(yè)務(wù)部門去做。這樣雖然簡單了��,可是漏洞平臺就成了某種形式上的傳達(dá)室���。辦漏洞平臺是為提高公司安全水平����,但是這樣單純的轉(zhuǎn)交明顯違背了初衷��,如何不把漏洞平臺變成“傳達(dá)室”或者 “比傳達(dá)室還傳達(dá)室”(黑鍋語),是需要平臺建設(shè)者重點關(guān)注的問題�。
漏洞核實修補檢查這個是非常有技術(shù)含量的工作,外部提交漏洞不可能完全描述清楚�����,而運營人員不僅需要有足夠的技術(shù)實力去確認(rèn)和重現(xiàn)漏洞�����,還要有一定業(yè)務(wù)知識來判斷漏洞對企業(yè)的影響���。在運營上盡量保證漏洞從平臺流轉(zhuǎn)給業(yè)務(wù)部門時候�,就已經(jīng)完成確認(rèn)�,如果存在疑問也和漏洞提交者溝通完畢,消除疑問�。并且有可靠的POC和合理的漏洞等級,業(yè)務(wù)收到漏洞時候已經(jīng)可以直接完成修補��。而不至于出現(xiàn)業(yè)務(wù)部門提出對漏洞質(zhì)疑�����,再由運營人員重新和漏洞提交者再溝通����,重新要求POC的問題�。
漏洞定級也是重要運營中重要環(huán)節(jié)��,因為漏洞平臺對漏洞等級的評定也對應(yīng)著相應(yīng)的獎勵���,也是對漏洞提交者工作的認(rèn)可和感謝�����。而這時候如何對漏洞定級就是一個非常棘手的事情,筆者多次因為這樣的類似的事情和內(nèi)部業(yè)務(wù)部門產(chǎn)生分歧�。同樣現(xiàn)在對漏洞提交平臺上面提交的漏洞如何給出讓漏洞提交者滿意的定級,也是最容易產(chǎn)生分歧的地方��。
筆者在這件環(huán)節(jié)上和黑鍋意見是完全不同的���,當(dāng)然筆者并不是認(rèn)為黑鍋的觀點是錯誤的����。黑鍋的觀點很簡單�,他認(rèn)為假設(shè)企業(yè)漏洞平臺運營人員技術(shù)能力足夠的話,就不會也不應(yīng)該出現(xiàn)這些麻煩和疑問�����,擁有足夠高的技術(shù)等級的企業(yè)安全人員可以直接給出漏洞符合的漏洞等級。根據(jù)這樣的推論�����,解決這個環(huán)節(jié)的出現(xiàn)問題的方法也就變得簡單了�,只要將漏洞平臺運營人員技術(shù)水平提高就可以了。所以黑鍋認(rèn)為解決大量的漏洞定級疑問的根本方法是企業(yè)漏洞平臺將運營人員技術(shù)層次提高到足夠高的水平��。
筆者對黑鍋的方法是認(rèn)同的�����,同樣也認(rèn)為平臺運營人員必須提高技術(shù)水平��,但是就算國內(nèi)頂尖互聯(lián)網(wǎng)企業(yè)都沒有解決這個問題��,其他企業(yè)想解決這個問題就更加難上加難了����。安全人員培養(yǎng)一直是個難題,而且也需要時間�����,特別企業(yè)是不可能等待有足夠安全人員再進(jìn)行平臺建設(shè)。
如何讓初級安全人員用簡單的方法對漏洞進(jìn)行評級����,還是需要另外一種思路,這也是筆者較為推崇的漏洞打分機制�����,漏洞等級打分機制是基于對漏洞存在條件拆分��,然后進(jìn)行數(shù)學(xué)計算獲得分?jǐn)?shù)�����,然后根據(jù)這個分?jǐn)?shù)來匹配上具體漏洞舉例��。通過對漏洞大類的舉例和漏洞條件的拆分��,初級人員也能直觀取得漏洞等級的劃分�。通過大量樣本的分析��,制定出一套合理的漏洞打分機制�����,來解決因為技術(shù)水平不足帶來的漏洞評級不準(zhǔn)確的問題。關(guān)于筆者的方法可以看附圖���,或者見筆者 BLOG鏈接����。(附圖1和附圖2�,blog鏈接)。
這也是筆者的法治和和黑鍋的人治兩種解決方式�����,看官可以根據(jù)企業(yè)自身特點進(jìn)行選擇��。筆者認(rèn)為短期可以通過采取調(diào)集精兵強將的精兵政策來實現(xiàn)人治����,但是長期運營還是需要依靠法治來實現(xiàn)。
漏洞獎勵方法�����,如何保證獎勵不傷害到漏洞提交者積極性�,獎勵要有足夠的價值,同樣也應(yīng)該有足夠的覆蓋面來鼓勵后進(jìn)者。目前只要有兩種機制���,排名制和積分制�,各有利弊����。
筆者很反對排名制進(jìn)行獎勵,因為排名制會導(dǎo)致讓獎勵基本圍繞在排名靠前的幾個老手身上�,而很多新人或者技術(shù)新手無法享受平臺的獎勵,有些時候還會產(chǎn)生不好的競爭情況�,對平臺長久運營不利。筆者比較傾向積分制����,因為積分可以讓新人盡早收獲到獎品,雖然獎品可能不貴重���,但是對促進(jìn)新人融入平臺卻有很大的幫助����,漏洞提交上不會受時間影響�����。雖然可能兌換制開銷會比積分制大一些����,如果考慮經(jīng)費不足或者其他原因需要控制經(jīng)費,可以通過提高���,這樣漏洞提交者也會理解��。
結(jié)束語
企業(yè)漏洞收集平臺是對企業(yè)安全體系的很好的補充�����,運營的好壞很大程度上會影響漏洞平臺發(fā)揮的作用�。因為漏洞提交者能將自己付出勞動找到的漏洞提交給企業(yè)漏洞收集平臺�����,也是對企業(yè)本身的認(rèn)可�����。所以不僅僅需要企業(yè)對平臺有足夠的技術(shù)和資金投入����,還需要運營平臺的企業(yè)安全人員給予漏洞提交者更好的耐心和更多的理解����。
