企業(yè)漏洞收集平臺時(shí)下是個(gè)熱點(diǎn)�����,從第三方的烏云漏洞平臺��,到甲方的騰訊漏洞提交平臺,網(wǎng)易漏洞平臺�����,再到乙方的360的庫帶計(jì)劃��。計(jì)劃和籌劃中的企業(yè)也很多�。筆者有過多家企業(yè)漏洞處理響應(yīng)經(jīng)驗(yàn),同時(shí)也是各大漏洞提交平臺的����?停雽懸稽c(diǎn)關(guān)于這個(gè)話題的自己理解和想法���。
每個(gè)公司的企業(yè)文化和技術(shù)水平也是千差萬別�,面臨的問題也會各不相同�����,筆者盡量列舉通用性的問題�。說的不好地方請各位看官輕拍。
準(zhǔn)備工作
首先漏洞修補(bǔ)平臺對企業(yè)來說是一把雙刃劍�,在準(zhǔn)備建設(shè)這個(gè)平臺,我們就要做好接受可能出現(xiàn)正面負(fù)面影響的準(zhǔn)備����。這個(gè)平臺的好處是能借助外部安全力量提供很多企業(yè)無法發(fā)現(xiàn)的漏洞��,壞處是漏洞平臺運(yùn)營的高難度和高風(fēng)險(xiǎn),因?yàn)楹诳腿Υ蚪坏����,并不是一件簡單的事情,很多時(shí)候是需要很多經(jīng)驗(yàn)積累以及技巧的�����。同時(shí)一個(gè)優(yōu)秀的平臺需要有足夠的活力�,如何吸引更多白帽子來參與,而不是成為幾個(gè)老手的游樂場���,是運(yùn)營人員必須考慮的問題。還有就是相應(yīng)公關(guān)風(fēng)險(xiǎn)也是存在��,需要有關(guān)注�。
平臺運(yùn)營
漏洞平臺運(yùn)營中間最核心的部分應(yīng)該是漏洞核實(shí)修補(bǔ)檢查和評定�,而這也是最難的部分。漏洞核實(shí)修補(bǔ)檢查看起來簡單�,其實(shí)要想做好也是非常難的。說簡單也很簡單不過是把提交上來的漏洞簡單處理一下就轉(zhuǎn)交給業(yè)務(wù)部門��,由業(yè)務(wù)部門去修補(bǔ)����,甚至有的時(shí)候直接轉(zhuǎn)發(fā)業(yè)務(wù)部門�����,判斷也由業(yè)務(wù)部門去做�。這樣雖然簡單了����,可是漏洞平臺就成了某種形式上的傳達(dá)室。辦漏洞平臺是為提高公司安全水平�,但是這樣單純的轉(zhuǎn)交明顯違背了初衷,如何不把漏洞平臺變成“傳達(dá)室”或者 “比傳達(dá)室還傳達(dá)室”(黑鍋語)����,是需要平臺建設(shè)者重點(diǎn)關(guān)注的問題。
漏洞核實(shí)修補(bǔ)檢查這個(gè)是非常有技術(shù)含量的工作����,外部提交漏洞不可能完全描述清楚�����,而運(yùn)營人員不僅需要有足夠的技術(shù)實(shí)力去確認(rèn)和重現(xiàn)漏洞��,還要有一定業(yè)務(wù)知識來判斷漏洞對企業(yè)的影響��。在運(yùn)營上盡量保證漏洞從平臺流轉(zhuǎn)給業(yè)務(wù)部門時(shí)候,就已經(jīng)完成確認(rèn)��,如果存在疑問也和漏洞提交者溝通完畢��,消除疑問���。并且有可靠的POC和合理的漏洞等級,業(yè)務(wù)收到漏洞時(shí)候已經(jīng)可以直接完成修補(bǔ)�����。而不至于出現(xiàn)業(yè)務(wù)部門提出對漏洞質(zhì)疑�����,再由運(yùn)營人員重新和漏洞提交者再溝通��,重新要求POC的問題。
漏洞定級也是重要運(yùn)營中重要環(huán)節(jié)����,因?yàn)槁┒雌脚_對漏洞等級的評定也對應(yīng)著相應(yīng)的獎勵�����,也是對漏洞提交者工作的認(rèn)可和感謝����。而這時(shí)候如何對漏洞定級就是一個(gè)非常棘手的事情����,筆者多次因?yàn)檫@樣的類似的事情和內(nèi)部業(yè)務(wù)部門產(chǎn)生分歧�。同樣現(xiàn)在對漏洞提交平臺上面提交的漏洞如何給出讓漏洞提交者滿意的定級,也是最容易產(chǎn)生分歧的地方�����。
筆者在這件環(huán)節(jié)上和黑鍋意見是完全不同的�����,當(dāng)然筆者并不是認(rèn)為黑鍋的觀點(diǎn)是錯誤的。黑鍋的觀點(diǎn)很簡單�����,他認(rèn)為假設(shè)企業(yè)漏洞平臺運(yùn)營人員技術(shù)能力足夠的話��,就不會也不應(yīng)該出現(xiàn)這些麻煩和疑問����,擁有足夠高的技術(shù)等級的企業(yè)安全人員可以直接給出漏洞符合的漏洞等級�。根據(jù)這樣的推論,解決這個(gè)環(huán)節(jié)的出現(xiàn)問題的方法也就變得簡單了���,只要將漏洞平臺運(yùn)營人員技術(shù)水平提高就可以了����。所以黑鍋認(rèn)為解決大量的漏洞定級疑問的根本方法是企業(yè)漏洞平臺將運(yùn)營人員技術(shù)層次提高到足夠高的水平�����。
筆者對黑鍋的方法是認(rèn)同的�����,同樣也認(rèn)為平臺運(yùn)營人員必須提高技術(shù)水平���,但是就算國內(nèi)頂尖互聯(lián)網(wǎng)企業(yè)都沒有解決這個(gè)問題���,其他企業(yè)想解決這個(gè)問題就更加難上加難了。安全人員培養(yǎng)一直是個(gè)難題��,而且也需要時(shí)間�����,特別企業(yè)是不可能等待有足夠安全人員再進(jìn)行平臺建設(shè)����。
如何讓初級安全人員用簡單的方法對漏洞進(jìn)行評級,還是需要另外一種思路���,這也是筆者較為推崇的漏洞打分機(jī)制��,漏洞等級打分機(jī)制是基于對漏洞存在條件拆分�,然后進(jìn)行數(shù)學(xué)計(jì)算獲得分?jǐn)?shù),然后根據(jù)這個(gè)分?jǐn)?shù)來匹配上具體漏洞舉例���。通過對漏洞大類的舉例和漏洞條件的拆分��,初級人員也能直觀取得漏洞等級的劃分����。通過大量樣本的分析���,制定出一套合理的漏洞打分機(jī)制����,來解決因?yàn)榧夹g(shù)水平不足帶來的漏洞評級不準(zhǔn)確的問題�����。關(guān)于筆者的方法可以看附圖�,或者見筆者 BLOG鏈接���。(附圖1和附圖2����,blog鏈接)��。
這也是筆者的法治和和黑鍋的人治兩種解決方式,看官可以根據(jù)企業(yè)自身特點(diǎn)進(jìn)行選擇�。筆者認(rèn)為短期可以通過采取調(diào)集精兵強(qiáng)將的精兵政策來實(shí)現(xiàn)人治,但是長期運(yùn)營還是需要依靠法治來實(shí)現(xiàn)�。
漏洞獎勵方法,如何保證獎勵不傷害到漏洞提交者積極性��,獎勵要有足夠的價(jià)值�,同樣也應(yīng)該有足夠的覆蓋面來鼓勵后進(jìn)者。目前只要有兩種機(jī)制��,排名制和積分制��,各有利弊���。
筆者很反對排名制進(jìn)行獎勵����,因?yàn)榕琶茣䦟?dǎo)致讓獎勵基本圍繞在排名靠前的幾個(gè)老手身上�����,而很多新人或者技術(shù)新手無法享受平臺的獎勵�,有些時(shí)候還會產(chǎn)生不好的競爭情況,對平臺長久運(yùn)營不利。筆者比較傾向積分制�,因?yàn)榉e分可以讓新人盡早收獲到獎品,雖然獎品可能不貴重�����,但是對促進(jìn)新人融入平臺卻有很大的幫助��,漏洞提交上不會受時(shí)間影響���。雖然可能兌換制開銷會比積分制大一些�����,如果考慮經(jīng)費(fèi)不足或者其他原因需要控制經(jīng)費(fèi)�,可以通過提高���,這樣漏洞提交者也會理解���。
結(jié)束語
企業(yè)漏洞收集平臺是對企業(yè)安全體系的很好的補(bǔ)充���,運(yùn)營的好壞很大程度上會影響漏洞平臺發(fā)揮的作用��。因?yàn)槁┒刺峤徽吣軐⒆约焊冻鰟趧诱业降穆┒刺峤唤o企業(yè)漏洞收集平臺���,也是對企業(yè)本身的認(rèn)可���。所以不僅僅需要企業(yè)對平臺有足夠的技術(shù)和資金投入,還需要運(yùn)營平臺的企業(yè)安全人員給予漏洞提交者更好的耐心和更多的理解��。
