常见问题

浅谈安全众测服务模式如何落地

来源:原创 - Void 众安天下Allsec2018-09-27 09:15:00


上一篇推送中我们介绍了什么是互联网安全众测服务模式,以及几种服务模式的区别。今天笔者主要围绕互联网众测服务模式如何落地的几大核心问题展开。

在互联网安全众测服务整个生命周期里主要包括以下三个角色,分别是:安全需求厂商、安全技术专家和安全众测平台。 安全需求厂商:有安全需求,旗下产品或者系统存在潜在安全隐患的厂商。涵盖互联网、金融、基金、证券、电商、云服务、智能硬件等领域。 安全技术专家:输出安全测试能力,提供安全技术支撑。包含渗透测试、漏洞挖掘、应急响应、解决方案定制等。 安全众测平台:简称“众测平台”,根据企业提出的安全需求,筛选并匹配相关安全专家,签订保密协议,在约定时间对指定测试范围的产品进行安全测试,并对发现的安全漏洞进行管理的平台。

ps:所有图片来源网络,我们尊重原创作者。

在整个众测项目服务周期中,众测平台作为中间节点,依托组织或机构的安全经验,组织安全专家,在厂商充分认可授权情况下,规范并监督安全测试过程,对发现的漏洞进行报告,提供修复方案和加固建议,提升厂商安全能力,其中众测平台对厂商和安全专家起到了枢纽和桥梁的作用,但在整个过程又隐含许多细节,是推动整个流程能进行,能落地的关键。包含以下几个模块:

(1) 身份可信

身份可信问题囊括厂商对众测平台,众测平台对安全专家,厂商对安全专家等的信任问题,在整个信任链中缺一不可,这样的问题要如果解决?从安全法的角度出发,可通过签订具有法律效益的授权协议解决,安全专家通过对众测平台和厂商签订《保密协议》,众测平台对厂商签订《授权协议》,整个众测项目测试周期在协议有效期内完成,保证合法、防泄漏,推动项目可以继续进行。

(2) 过程可视

“服务可信,过程可见”就是这个问题的关键词,众测项目实施过程中,对测试过程可视化,可量化,对测试结果可查化,是众测平台对厂商的责任和义务,也是厂商对众测平台加深信任的重点,以及众测平台对安全专家在测试过程中是否违反签订协议内容做到过程可监控,后果可溯源等。以上问题都可通过技术手段来解决完成。比如:流量审计。流量审计可贯穿整个周期,作为过程可视化,结果可查化的基础,并且可以做到厂商对测试过程中的异常流量疑问的解答。

(3) 结果可控

漏洞管理是众测平台的核心功能之一,漏洞修复及时性、漏洞详情保密性和漏洞管理便捷性,在众测过程中也显得至关重要。众测平台对安全专家提交的漏洞进行审核,厂商依照平台审核通过的漏洞,基于修复建议进行修复,在此基础之上,众测的相对优势也能体现出来。例如:在测试过程中对发现的漏洞可以做到“高危不隔夜”,对业务影响较大的漏洞及时得到反馈修复,从而解决漏洞修复及时性;与此同时,漏洞管理可通过第一条提到的具有法律效益的协议和平台自身的技术手段保证厂商漏洞详情保密性;在众测平台使用和反馈中 不断完善优化漏洞管理便捷性。

(4) 质量可见

在众测服务交付阶段,报告的交付是整个项目的汇报与总结,是众测项目实施的点睛之笔,交付质量的好与坏可能直接影响到整个项目的效果,当然交付报告内容也依托于以上提到的和未提到的种种问题细节的支撑,因此什么是高质量的交付?在传统的渗透测试交付报告只针对漏洞技术的基础上,基于漏洞对业务视角的影响分析,典型漏洞和严重漏洞的凸显,可以用更加生动形象的方式展示不免是一种好的交付,通过不同的视角,不同的方案,更全面的展示;针对不同的人员,如:技术人员,运维人员和管理人员生成不同的交付结果,从而解决和完善交付质量问题。

ps:所有图片来源网络,我们尊重原创作者。

以上,提到的四点关于互联网安全众测服务模式如何落地的问题,贯穿整个项目实施周期的始终,如何做一个确实能让客户的客户更有安全感的网络安全众测平台,这四点就显得尤为重要。 “互联网安全众测模式在不断发展和完善的过程中可能还会遇到更多具备细节性的问题,众安天下,天下众安”是我们不断挑战自己,完善自己的动力。是我们的美好愿景,我们希望通过能力平台,打通上下游,为更多企业发现安全问题、规避安全风险、帮助企业更好的解决安全问题。“让客户的客户更安全”。


上一篇:互联网安全服务模式的区别 | 浅谈众测

下一篇:ALLSEC企业动态-浅谈如何合法化、规范化做好安全众测?