常见问题

互联网安全服务模式的区别 | 浅谈众测

来源:原创 - 众安天下Allsec2018-09-17 09:15:00


随着互联网众测平台、互联网漏洞平台(漏洞悬赏平台)、SRC(安全应急响应中心)等多种互联网化安全服务模式的兴起,基于互联网化的安全众测模式被不断地进行着概念混淆,使众多企业用户搞不清几种模式的区别,更不清楚在什么样的情况下选择哪种安全服务模式更适合自身业务。今天笔者就跟大家来聊一聊互联网模式下的几种安全服务的区别以及当下互联网安全众测平台的定位与发展。

一、 互联网模式下的多种安全测试模式

互联网安全众测模式诞生于2010年,至今已在网络安全市场中运行8年,在这个过程中也通过各方能力提供者的不断优化,衍生出多种模式,这也是为了更好的运用安全生态种各类技术专家资源,更有效更便捷的帮助企业解决安全漏洞威胁,为企业业务的长远发展以及企业最终用户的信息安全保驾护航。

· 互联网安全众测平台(以下简称“众测平台”)

互联网安全众测模式主要是以项目制为主,在得到企业充分认可,且拿到书面盖章合同和授权书的情况下,在约定的特定时间对指定的测试范围和产品进行安全测试。测试人员则是由众测平台的平台方组织聚合跨地域、跨业务领域、跨技术领域的众多安全专家,以竞测的形式合力帮助企业从多方面、多维度、多视角排除安全漏洞隐患,提升客户业务安全软实力。而在入围的安全专家选择上,主要有开放式、邀请制和内部自有力量支撑三种,以单人或团队形式参与。

· 互联网漏洞平台/漏洞悬赏平台(以下简称“漏洞平台”)

漏洞平台模式主要是面向社会公开各类安全漏洞信息的互联网平台。各机构、各企业以及个人都可以在通过漏洞平台运营方完成项目审核后,将自己的项目及项目有效期在漏洞平台上进行公布等待测试结果的反馈。同时,所有具备漏洞挖掘能力的安全专家、安全组织、公众个人都可以在通过漏洞平台身份认证后注册成为能力提供者之一,并按照各类漏洞平台的奖励规则获取响应的报酬。

· 安全应急响应中心(以下简称“SRC”)

SRC模式一般是业务相对较为成熟完善的企业,由企业自有的安全团队组织自身安全人才体系,建立一套属于自己的SRC平台。也有部分企业选择依托于相对成熟的云服务平台合力建设。但不管是自建还是合建,大部分SRC建设的前提条件都是在具备技术及平台运营能力较强的安全团队的情况下孕育而生的。

二、 该如何更好使用互联网安全众测模式

上文简述了基于互联网模式下的三种安全测试服务,那么在什么情况下更适合优先选择众测平台呢?笔者汇总了一下近些年各家众测平台公开的成功案例发现大致可以分为以下几个应用场景。

· 初创企业

初创企业或者业务成长非常快速的企业,通常从运营成本考虑,更加注重业务发展和团队成长的投入,大部分不会在成长初中期就专门培养一支具备专业安全能力的人才团队,所以大部分业务安全的保障服务需要借助外部专业安全团队提供支撑。这类企业的共性就是不具备全面购买安全防护产品的预算,甚至有不少企业选择将自己的业务托管在第三方IDC或云服务平台上,没有自己的基础设施环境。同时,这类企业又由于业务需保持快速迭代更替,因此频繁需要有又快又便捷且高效低成本的业务安全测试服务,以保障漏洞从发现到解决的时效性,确保业务不中断不造成企业经济损失。

· 交叉验证

随着网络安全的重要性上升至国家战略层面,许多机构、企业都开始注重自身安全团队的人才培养,同时更加关注自身企业从物理环境到基础设施到数据流转到应用开发再到业务应用等全方面的安全性。这一类企业大部分已经在自有安全团队支撑下,建立了属于自己的安全防护体系和安全防护机制,拥有较为完善的信息安全管理组织和制度。但安全漏洞是层出不穷的,任何一个专业安全团队也做不到100%的漏洞发现与安全防护,因此需要在现有基础之上,通过不定期借助众测平台的力量进行交叉验证,借助多方力量,从多种视角出发,以保障更全面的发现安全隐患与风险面。

· 上线测试

当下是个互联网发展超前蓬勃的时代,在互联网的蓝海中各行各业竞争压力都处于高度紧张,尤其是面向广大C端用户的互联网业务,新产品或迭代版产品上线时间几乎要用分秒进行计算,有的电商业务晚一分钟都有可能给企业带来巨大经济损失。因此,这类企业需要在新业务或迭代版本上线前,在进行功能测试阶段就快速同步完成产品全面的安全性测试。而互联网安全众测模式刚好是基于多人、多维度、多视角,同时针对目标开展全方面安全测试,且时效快,效率高。

· 结果导向

现在网络安全领域正随着国家法规与政策的大力支持进入行业的红利期,短短两三年中就有数百家安全防护产品或安全服务企业新星茁壮成长。而对于需求方的企业管理者来讲,面对如此众多的选择,且差异化不太显著的情况下,投入与回报的衡量就成为了一大难题。有些企业直接以竞价的方式,选择报价最低的入围。而有些企业则选择以结果(或效果)为付费导向。而大部分众测平台都支持以漏洞结果和漏洞价值为主的报价体系,可以更好的满足企业先看到结果再付费的需求。

三、 互联网安全众测模式未来发展趋势

首先笔者坚信互联网安全众测模式在未来一定是安全测试服务中占据主导地位之一的。尽管目前在市场应用中还是会出现因概念混淆而导致的一些理解偏差存在,但是随着各类基于互联网模式下的安全测试平台的不断完善,会逐渐拉大各类平台之间的差异化,以便企业可以根据自身不同阶段的实际需要进行更明确的选择。

对于现在还处于成长期的众测平台本身,目前也存在着一些影响企业用户体验的问题,例如:平台运营规则多样化、安全专家以及项目实施过程企业无感知不可控、漏洞定级与奖励机制不规范等。另一方面从整体市场角度分析,刚刚度过萌芽期进入成长期的众测平台因为各项资质或价格等因素,依旧竞争不过传统安全大厂,从而导致很多相对偏传统一点的中大型企业还不知道或不了解众测平台的概念及优势。

基于这些问题,笔者想说“行生于己,名生于人”。随着云计算为首的新技术的不断发展和企业在互联网的暴露面越来越广,企业自身对安全服务能力,安全测试的能力要求越来越高,对安全公司及安全服务团队的要求也越来越高,企业自身的安全能力越来越高的同时,如何改变原有的模式和机制,提升生产力和创造力,互联网安全众测模式在不断成长的同时还需要先强大自身。


上一篇:众安天下首次亮相ISC | 展台现场人气爆棚

下一篇:浅谈安全众测服务模式如何落地