相比廠商自身力量、國家測評和專業安全公司,民間漏洞眾測的優勢主要體現在哪裡?但對其監管是否存在難點?

烏雲、freebuf等紛紛上線漏洞眾測服務,這樣的民間漏洞運作模式,與官方相比有和優勢所在。但監管方面是不是存在許多難點?分別有哪些,同時這些民間平台只是鬆散機構,那麼如何管理加盟到平台的白帽子?


核心在於測試結果和激勵的掛鉤完全不一樣,類似人民公社和家庭聯產承包責任制的區別。


不邀自來。

首先聲明,本人小白,下面有關言論都是根據自己曾接觸過的相關人和事,不喜請摺疊。

民間漏洞組織相對官方測評機構主要的優點在於在進行測試的時候能夠更加真實的模擬現實的攻擊場景。而且民間小部分並未受過正規專業訓練的更是具有路子野,角度刁鑽,思維奇葩不按常理出牌的特點。

而相對來說國家或者大公司的專業評測團隊一般都有非常正規的審計流程,覆蓋面可能也很廣,但是一般都不會有非常刁鑽的測試。

從人的角度上來分析,參與烏雲,漏洞盒子等民間平台項目的一般都是自己本身有工作,但是在業務時間用興趣賺外快的,並非」不做就會餓死」。所以對於測試這個項目的本身的態度是非常積極的,效率也就更高。

但是如果是公司的話,很有可能你最近就很不爽(存在各種可能的原因比如大姨媽來了大姨夫走了之類的)公司還要你來參加這個項目。好吧,這個說的有點過了,但是當一件事情由興趣變成你的工作的時候,它肯定就變味了,這是肯定的。

不過相對正規公司對人員的編製,民間組織具有太多的不可控性(比如利用測試的契機來獲取一些機密又或者留下後門等等)。這直接導致有測評需求的企業對民間平台的信心不足。如何拿出一套能讓企業放心的測試方法和方案是現在很大的挑戰。

一個小白鬍謅亂扯了這麼多,被噴了怎麼辦?還是匿了吧。。


專業深入。全面,第三方。實戰。


頭兩個問題我能回答,第三個問題「如果管理加入到平台的白帽子」是否可以新開一個話題

/*

首先介紹一下傳統方式,業內人士的話可以直接跳過去看對眾測的評價

「廠商自身力量」,應該是在說漏洞掃描工具吧,比如Nessus、McAfee Vulnerability Manager、綠盟極光。

伺服器數量過百,業務調整頻率不過長,需要定期檢查的,都適合部署漏洞掃描工具。

這種工具會盡量收錄所有已知漏洞,盡量適用所有網路設備,包括但不限於伺服器、PC、防火牆、交換機等,盡量都包含白盒檢測和滲透利用兩種檢測方式,一定包含解決方案,對暴露在網路層(intranet and/or internet)的漏洞進行全面的體檢。

Appscan等則是針對應用層的工具。

專業安全公司,應該是在說滲透測試

滲透測試使用的是標準、規範的流程,對官網網站、內網滲透等做授權滲透測試,注入、XSS、CSRF是重點,因為web攻擊是漏洞掃描工具的一大盲點,此外滲透測試主要是用metasploit,沒辦法做白盒測試。買滲透測試是買的服務,工程師用流程給你跑一遍,把報告給你。也一定有解決方案。

說直白點,就是買一個外包服務。

*/

眾測,也是一種授權滲透測試。

但是他們不是賣服務,幾乎沒有標準規範和流程,每個白帽子拿自己的經驗和本領,挖到一個什麼級別的漏洞給多少錢,挖不到不給錢,賣的是手藝,拼的是猥瑣。一般也會給解決方案,也可能給出漏洞利用方法雙方看著解決。如果價格合適,會不會拿壓箱底的手藝出來,呢?

有不少業內人士評論烏雲眾測是耍流氓,烏雲平台公布了你的漏洞,你覺得影響不好我也沒辦法,我是國家安全應急響應中心授權的,不過眾測出來的漏洞是不會公布的呢。但我是很支持這種方式的,主要是出於對烏雲的支持和安全從業者的支持,只要對安全行業的發展是有利的,耍流氓也幫你考慮合法化。

白盒檢查是例行公事,滲透測試可以外包也可以自己做,做得差不多後,一般是作為補充手段去請眾測,因為能挖到漏洞的話,給的價碼很高,跟漏洞上報那點可憐的補貼或獎勵不同,甚至遠高於白帽子自身本職工作的月薪。

所以freebuf跟烏雲是沒有可比性的,它雖然賣的也是手藝,可是沒有烏雲的後台擺在那裡,甲方會把你跟網安放在一起候選,還是比較尷尬。

監管不必顧慮,眾測亦屬於授權滲透測試,沒什麼法律問題。


推薦閱讀:

如何看待世紀佳緣網站假借送禮名義索要烏雲白帽地址報警的行為?
如何看待360補天漏洞響應平台做秀把美的的漏洞全部曝光的事情?
QQ「你可能收到一條假消息」是如何實現的?
加入電子科大的凝聚工作室是一種怎樣的體驗?
如何評價網易雲音樂被掛馬編譯器掛馬?

TAG:信息安全 | 漏洞 | 烏雲WooYun | 烏雲眾測 |