企業(yè)漏洞收集平臺時下是個熱點�����,從第三方的烏云漏洞平臺,到甲方的騰訊漏洞提交平臺�,網易漏洞平臺,再到乙方的360的庫帶計劃�。計劃和籌劃中的企業(yè)也很多。筆者有過多家企業(yè)漏洞處理響應經驗�,同時也是各大漏洞提交平臺的常客���,想寫一點關于這個話題的自己理解和想法�����。
每個公司的企業(yè)文化和技術水平也是千差萬別����,面臨的問題也會各不相同����,筆者盡量列舉通用性的問題。說的不好地方請各位看官輕拍��。
準備工作
首先漏洞修補平臺對企業(yè)來說是一把雙刃劍����,在準備建設這個平臺�,我們就要做好接受可能出現正面負面影響的準備���。這個平臺的好處是能借助外部安全力量提供很多企業(yè)無法發(fā)現的漏洞��,壞處是漏洞平臺運營的高難度和高風險�����,因為黑客圈打交道���,并不是一件簡單的事情,很多時候是需要很多經驗積累以及技巧的���。同時一個優(yōu)秀的平臺需要有足夠的活力,如何吸引更多白帽子來參與��,而不是成為幾個老手的游樂場��,是運營人員必須考慮的問題���。還有就是相應公關風險也是存在���,需要有關注����。
平臺運營
漏洞平臺運營中間最核心的部分應該是漏洞核實修補檢查和評定���,而這也是最難的部分�。漏洞核實修補檢查看起來簡單�����,其實要想做好也是非常難的�����。說簡單也很簡單不過是把提交上來的漏洞簡單處理一下就轉交給業(yè)務部門����,由業(yè)務部門去修補,甚至有的時候直接轉發(fā)業(yè)務部門���,判斷也由業(yè)務部門去做����。這樣雖然簡單了,可是漏洞平臺就成了某種形式上的傳達室��。辦漏洞平臺是為提高公司安全水平���,但是這樣單純的轉交明顯違背了初衷�����,如何不把漏洞平臺變成“傳達室”或者 “比傳達室還傳達室”(黑鍋語)��,是需要平臺建設者重點關注的問題����。
漏洞核實修補檢查這個是非常有技術含量的工作�,外部提交漏洞不可能完全描述清楚,而運營人員不僅需要有足夠的技術實力去確認和重現漏洞�����,還要有一定業(yè)務知識來判斷漏洞對企業(yè)的影響�����。在運營上盡量保證漏洞從平臺流轉給業(yè)務部門時候���,就已經完成確認����,如果存在疑問也和漏洞提交者溝通完畢����,消除疑問。并且有可靠的POC和合理的漏洞等級�����,業(yè)務收到漏洞時候已經可以直接完成修補�。而不至于出現業(yè)務部門提出對漏洞質疑,再由運營人員重新和漏洞提交者再溝通���,重新要求POC的問題��。
漏洞定級也是重要運營中重要環(huán)節(jié)��,因為漏洞平臺對漏洞等級的評定也對應著相應的獎勵����,也是對漏洞提交者工作的認可和感謝���。而這時候如何對漏洞定級就是一個非常棘手的事情���,筆者多次因為這樣的類似的事情和內部業(yè)務部門產生分歧���。同樣現在對漏洞提交平臺上面提交的漏洞如何給出讓漏洞提交者滿意的定級,也是最容易產生分歧的地方�。
筆者在這件環(huán)節(jié)上和黑鍋意見是完全不同的,當然筆者并不是認為黑鍋的觀點是錯誤的����。黑鍋的觀點很簡單,他認為假設企業(yè)漏洞平臺運營人員技術能力足夠的話����,就不會也不應該出現這些麻煩和疑問,擁有足夠高的技術等級的企業(yè)安全人員可以直接給出漏洞符合的漏洞等級�。根據這樣的推論,解決這個環(huán)節(jié)的出現問題的方法也就變得簡單了�,只要將漏洞平臺運營人員技術水平提高就可以了。所以黑鍋認為解決大量的漏洞定級疑問的根本方法是企業(yè)漏洞平臺將運營人員技術層次提高到足夠高的水平�。
筆者對黑鍋的方法是認同的,同樣也認為平臺運營人員必須提高技術水平�����,但是就算國內頂尖互聯網企業(yè)都沒有解決這個問題�����,其他企業(yè)想解決這個問題就更加難上加難了���。安全人員培養(yǎng)一直是個難題���,而且也需要時間,特別企業(yè)是不可能等待有足夠安全人員再進行平臺建設����。
如何讓初級安全人員用簡單的方法對漏洞進行評級,還是需要另外一種思路�����,這也是筆者較為推崇的漏洞打分機制�,漏洞等級打分機制是基于對漏洞存在條件拆分,然后進行數學計算獲得分數���,然后根據這個分數來匹配上具體漏洞舉例���。通過對漏洞大類的舉例和漏洞條件的拆分�����,初級人員也能直觀取得漏洞等級的劃分����。通過大量樣本的分析����,制定出一套合理的漏洞打分機制,來解決因為技術水平不足帶來的漏洞評級不準確的問題����。關于筆者的方法可以看附圖,或者見筆者 BLOG鏈接��。(附圖1和附圖2���,blog鏈接)����。
這也是筆者的法治和和黑鍋的人治兩種解決方式���,看官可以根據企業(yè)自身特點進行選擇���。筆者認為短期可以通過采取調集精兵強將的精兵政策來實現人治��,但是長期運營還是需要依靠法治來實現。
漏洞獎勵方法�����,如何保證獎勵不傷害到漏洞提交者積極性�����,獎勵要有足夠的價值��,同樣也應該有足夠的覆蓋面來鼓勵后進者���。目前只要有兩種機制��,排名制和積分制���,各有利弊。
筆者很反對排名制進行獎勵�����,因為排名制會導致讓獎勵基本圍繞在排名靠前的幾個老手身上,而很多新人或者技術新手無法享受平臺的獎勵���,有些時候還會產生不好的競爭情況��,對平臺長久運營不利�。筆者比較傾向積分制����,因為積分可以讓新人盡早收獲到獎品,雖然獎品可能不貴重����,但是對促進新人融入平臺卻有很大的幫助,漏洞提交上不會受時間影響�。雖然可能兌換制開銷會比積分制大一些,如果考慮經費不足或者其他原因需要控制經費����,可以通過提高,這樣漏洞提交者也會理解��。
結束語
企業(yè)漏洞收集平臺是對企業(yè)安全體系的很好的補充��,運營的好壞很大程度上會影響漏洞平臺發(fā)揮的作用。因為漏洞提交者能將自己付出勞動找到的漏洞提交給企業(yè)漏洞收集平臺���,也是對企業(yè)本身的認可�。所以不僅僅需要企業(yè)對平臺有足夠的技術和資金投入�����,還需要運營平臺的企業(yè)安全人員給予漏洞提交者更好的耐心和更多的理解�����。
