企業(yè)漏洞收集平臺(tái)時(shí)下是個(gè)熱點(diǎn),從第三方的烏云漏洞平臺(tái)����,到甲方的騰訊漏洞提交平臺(tái),網(wǎng)易漏洞平臺(tái)�,再到乙方的360的庫(kù)帶計(jì)劃。計(jì)劃和籌劃中的企業(yè)也很多�����。筆者有過(guò)多家企業(yè)漏洞處理響應(yīng)經(jīng)驗(yàn)����,同時(shí)也是各大漏洞提交平臺(tái)的�?停雽(xiě)一點(diǎn)關(guān)于這個(gè)話題的自己理解和想法�����。
每個(gè)公司的企業(yè)文化和技術(shù)水平也是千差萬(wàn)別,面臨的問(wèn)題也會(huì)各不相同��,筆者盡量列舉通用性的問(wèn)題��。說(shuō)的不好地方請(qǐng)各位看官輕拍���。
準(zhǔn)備工作
首先漏洞修補(bǔ)平臺(tái)對(duì)企業(yè)來(lái)說(shuō)是一把雙刃劍��,在準(zhǔn)備建設(shè)這個(gè)平臺(tái)��,我們就要做好接受可能出現(xiàn)正面負(fù)面影響的準(zhǔn)備���。這個(gè)平臺(tái)的好處是能借助外部安全力量提供很多企業(yè)無(wú)法發(fā)現(xiàn)的漏洞,壞處是漏洞平臺(tái)運(yùn)營(yíng)的高難度和高風(fēng)險(xiǎn)���,因?yàn)楹诳腿Υ蚪坏�,并不是一件?jiǎn)單的事情�����,很多時(shí)候是需要很多經(jīng)驗(yàn)積累以及技巧的。同時(shí)一個(gè)優(yōu)秀的平臺(tái)需要有足夠的活力����,如何吸引更多白帽子來(lái)參與,而不是成為幾個(gè)老手的游樂(lè)場(chǎng)���,是運(yùn)營(yíng)人員必須考慮的問(wèn)題��。還有就是相應(yīng)公關(guān)風(fēng)險(xiǎn)也是存在��,需要有關(guān)注����。
平臺(tái)運(yùn)營(yíng)
漏洞平臺(tái)運(yùn)營(yíng)中間最核心的部分應(yīng)該是漏洞核實(shí)修補(bǔ)檢查和評(píng)定��,而這也是最難的部分�����。漏洞核實(shí)修補(bǔ)檢查看起來(lái)簡(jiǎn)單���,其實(shí)要想做好也是非常難的。說(shuō)簡(jiǎn)單也很簡(jiǎn)單不過(guò)是把提交上來(lái)的漏洞簡(jiǎn)單處理一下就轉(zhuǎn)交給業(yè)務(wù)部門(mén)���,由業(yè)務(wù)部門(mén)去修補(bǔ)����,甚至有的時(shí)候直接轉(zhuǎn)發(fā)業(yè)務(wù)部門(mén),判斷也由業(yè)務(wù)部門(mén)去做�。這樣雖然簡(jiǎn)單了,可是漏洞平臺(tái)就成了某種形式上的傳達(dá)室�。辦漏洞平臺(tái)是為提高公司安全水平,但是這樣單純的轉(zhuǎn)交明顯違背了初衷����,如何不把漏洞平臺(tái)變成“傳達(dá)室”或者 “比傳達(dá)室還傳達(dá)室”(黑鍋語(yǔ)),是需要平臺(tái)建設(shè)者重點(diǎn)關(guān)注的問(wèn)題�。
漏洞核實(shí)修補(bǔ)檢查這個(gè)是非常有技術(shù)含量的工作,外部提交漏洞不可能完全描述清楚���,而運(yùn)營(yíng)人員不僅需要有足夠的技術(shù)實(shí)力去確認(rèn)和重現(xiàn)漏洞�,還要有一定業(yè)務(wù)知識(shí)來(lái)判斷漏洞對(duì)企業(yè)的影響��。在運(yùn)營(yíng)上盡量保證漏洞從平臺(tái)流轉(zhuǎn)給業(yè)務(wù)部門(mén)時(shí)候����,就已經(jīng)完成確認(rèn),如果存在疑問(wèn)也和漏洞提交者溝通完畢���,消除疑問(wèn)�����。并且有可靠的POC和合理的漏洞等級(jí)���,業(yè)務(wù)收到漏洞時(shí)候已經(jīng)可以直接完成修補(bǔ)�����。而不至于出現(xiàn)業(yè)務(wù)部門(mén)提出對(duì)漏洞質(zhì)疑�,再由運(yùn)營(yíng)人員重新和漏洞提交者再溝通���,重新要求POC的問(wèn)題���。
漏洞定級(jí)也是重要運(yùn)營(yíng)中重要環(huán)節(jié),因?yàn)槁┒雌脚_(tái)對(duì)漏洞等級(jí)的評(píng)定也對(duì)應(yīng)著相應(yīng)的獎(jiǎng)勵(lì)���,也是對(duì)漏洞提交者工作的認(rèn)可和感謝�。而這時(shí)候如何對(duì)漏洞定級(jí)就是一個(gè)非常棘手的事情�,筆者多次因?yàn)檫@樣的類似的事情和內(nèi)部業(yè)務(wù)部門(mén)產(chǎn)生分歧。同樣現(xiàn)在對(duì)漏洞提交平臺(tái)上面提交的漏洞如何給出讓漏洞提交者滿意的定級(jí)���,也是最容易產(chǎn)生分歧的地方���。
筆者在這件環(huán)節(jié)上和黑鍋意見(jiàn)是完全不同的,當(dāng)然筆者并不是認(rèn)為黑鍋的觀點(diǎn)是錯(cuò)誤的���。黑鍋的觀點(diǎn)很簡(jiǎn)單����,他認(rèn)為假設(shè)企業(yè)漏洞平臺(tái)運(yùn)營(yíng)人員技術(shù)能力足夠的話���,就不會(huì)也不應(yīng)該出現(xiàn)這些麻煩和疑問(wèn)�,擁有足夠高的技術(shù)等級(jí)的企業(yè)安全人員可以直接給出漏洞符合的漏洞等級(jí)�。根據(jù)這樣的推論,解決這個(gè)環(huán)節(jié)的出現(xiàn)問(wèn)題的方法也就變得簡(jiǎn)單了�����,只要將漏洞平臺(tái)運(yùn)營(yíng)人員技術(shù)水平提高就可以了���。所以黑鍋認(rèn)為解決大量的漏洞定級(jí)疑問(wèn)的根本方法是企業(yè)漏洞平臺(tái)將運(yùn)營(yíng)人員技術(shù)層次提高到足夠高的水平��。
筆者對(duì)黑鍋的方法是認(rèn)同的��,同樣也認(rèn)為平臺(tái)運(yùn)營(yíng)人員必須提高技術(shù)水平��,但是就算國(guó)內(nèi)頂尖互聯(lián)網(wǎng)企業(yè)都沒(méi)有解決這個(gè)問(wèn)題��,其他企業(yè)想解決這個(gè)問(wèn)題就更加難上加難了���。安全人員培養(yǎng)一直是個(gè)難題��,而且也需要時(shí)間����,特別企業(yè)是不可能等待有足夠安全人員再進(jìn)行平臺(tái)建設(shè)��。
如何讓初級(jí)安全人員用簡(jiǎn)單的方法對(duì)漏洞進(jìn)行評(píng)級(jí)���,還是需要另外一種思路��,這也是筆者較為推崇的漏洞打分機(jī)制���,漏洞等級(jí)打分機(jī)制是基于對(duì)漏洞存在條件拆分,然后進(jìn)行數(shù)學(xué)計(jì)算獲得分?jǐn)?shù)����,然后根據(jù)這個(gè)分?jǐn)?shù)來(lái)匹配上具體漏洞舉例��。通過(guò)對(duì)漏洞大類的舉例和漏洞條件的拆分����,初級(jí)人員也能直觀取得漏洞等級(jí)的劃分����。通過(guò)大量樣本的分析�,制定出一套合理的漏洞打分機(jī)制,來(lái)解決因?yàn)榧夹g(shù)水平不足帶來(lái)的漏洞評(píng)級(jí)不準(zhǔn)確的問(wèn)題�。關(guān)于筆者的方法可以看附圖,或者見(jiàn)筆者 BLOG鏈接�。(附圖1和附圖2,blog鏈接)����。
這也是筆者的法治和和黑鍋的人治兩種解決方式,看官可以根據(jù)企業(yè)自身特點(diǎn)進(jìn)行選擇����。筆者認(rèn)為短期可以通過(guò)采取調(diào)集精兵強(qiáng)將的精兵政策來(lái)實(shí)現(xiàn)人治,但是長(zhǎng)期運(yùn)營(yíng)還是需要依靠法治來(lái)實(shí)現(xiàn)���。
漏洞獎(jiǎng)勵(lì)方法�����,如何保證獎(jiǎng)勵(lì)不傷害到漏洞提交者積極性��,獎(jiǎng)勵(lì)要有足夠的價(jià)值���,同樣也應(yīng)該有足夠的覆蓋面來(lái)鼓勵(lì)后進(jìn)者�����。目前只要有兩種機(jī)制��,排名制和積分制����,各有利弊����。
筆者很反對(duì)排名制進(jìn)行獎(jiǎng)勵(lì),因?yàn)榕琶茣?huì)導(dǎo)致讓獎(jiǎng)勵(lì)基本圍繞在排名靠前的幾個(gè)老手身上��,而很多新人或者技術(shù)新手無(wú)法享受平臺(tái)的獎(jiǎng)勵(lì)����,有些時(shí)候還會(huì)產(chǎn)生不好的競(jìng)爭(zhēng)情況�,對(duì)平臺(tái)長(zhǎng)久運(yùn)營(yíng)不利���。筆者比較傾向積分制�,因?yàn)榉e分可以讓新人盡早收獲到獎(jiǎng)品�����,雖然獎(jiǎng)品可能不貴重���,但是對(duì)促進(jìn)新人融入平臺(tái)卻有很大的幫助,漏洞提交上不會(huì)受時(shí)間影響�。雖然可能兌換制開(kāi)銷會(huì)比積分制大一些,如果考慮經(jīng)費(fèi)不足或者其他原因需要控制經(jīng)費(fèi)�,可以通過(guò)提高,這樣漏洞提交者也會(huì)理解�����。
結(jié)束語(yǔ)
企業(yè)漏洞收集平臺(tái)是對(duì)企業(yè)安全體系的很好的補(bǔ)充�,運(yùn)營(yíng)的好壞很大程度上會(huì)影響漏洞平臺(tái)發(fā)揮的作用。因?yàn)槁┒刺峤徽吣軐⒆约焊冻鰟趧?dòng)找到的漏洞提交給企業(yè)漏洞收集平臺(tái)����,也是對(duì)企業(yè)本身的認(rèn)可�����。所以不僅僅需要企業(yè)對(duì)平臺(tái)有足夠的技術(shù)和資金投入����,還需要運(yùn)營(yíng)平臺(tái)的企業(yè)安全人員給予漏洞提交者更好的耐心和更多的理解�����。
