-
罗清篮
提供企业安全服务?“漏洞银行”认为众测悬赏和综合诊断要两手抓
安全问题,对于企业来讲,重要程度自然不言而喻。随着互联网的普及,企业面临的安全威胁越来越严峻,维持成本也越来越高,而中国有 5000 万中小企业,攻击漏洞所造成的损失一年超千亿。
面对企业的漏洞风险,包括微软、谷歌、Facebook 等都提出了 SRC (Security Response Center,安全应急响应中心) 的概念,发动全网有奉献精神的白帽子来为企业提交漏洞,以提高安全防御能力。国内包括 BAT 在内的大型互联网公司也都建立了自己的 SRC 平台。
“但这个对于中小型企业而言,成本太高了。它们要构建一个自己的 SRC,大约每年需要 150 万元的投入成本,包括至少雇佣三个技术和两个运营人员。”漏洞银行的创始人罗清篮告诉 记者,团队的初衷就是通过众包模式为企业客户寻找漏洞,帮助其用低成本建立起 SRC 中心。简单点说,就是在社区里聚集一群白帽子,让这些白帽子解决企业提出的安全检测需求。
目前,共有近千家企业和五千位活跃白帽子入驻漏洞银行 SaaS 平台,企业根据发现安全漏洞大小和数量,对白帽开展定价悬赏。悬赏金额根据不同的情报线索有所区别,高的在 2 万-10 万,低的可能几千元一个。目前阶段,平台暂不收费,等规模做大了,会考虑抽取一定金额的服务费。
15年 一整年,罗清篮和他的团队都在搭建这个平台,产品 16年 初算是正式上线。他坦言前期的运营耗费了大量的精力,因为白帽这个群体非常特殊,是互联网上最难伺候的用户。“他们就是找问题的人,所以也会给你的平台找大量的问题。所以我们也是在他们帮助下,一步步迭代和完善。” 至于如何吸引到这批白帽,团队的方法是建立一个 PWN 栏目将最新的白帽技术公开出来,供大家学习和交流。
谈及和乌云众测的区别,罗清篮认为最大的一个就是乌云会曝光企业安全漏洞,而漏洞银行以保护企业隐私为第一要务,不会选择曝光。因为企业客户面对众测这类安全服务时往往有一个顾虑:自己公司的漏洞会不会被公开或半公开披露,对企业信誉造成严重危害?
其次,漏洞银行构建的企业 SRC 不单单是做悬赏,更多的是提供一个综合诊断的服务。平台后端拥有一批 40-50 人规模的专家团队,每天会去甄别和筛选这些威胁情报的真实性。
“也就是说,企业最终看到的那些情报都是经过我们验证过的、有效的。专家队伍也会和企业的技术人员联合,进行安全问题的排查和诊断。这种模式会比市面上的众测平台更成熟,因为悬赏很容易单单依靠白帽子的个人能力,企业更愿意相信有专业背景和技能的公司。”
漏洞银行为上海谋乐网络科技有限公司旗下的产品,公司规模近百人,去年获软银中国资本数百万美元的 A 轮融资。据悉,当前入驻的企业客户以互联网金融和电商平台类为主(对安全的需求相对刚需),包括宜信、1号店、大众点评等。
来源:36氪,作者:人人酱,如若转载,请注明出处:http://36kr.com/p/5048114.html
扫一扫 加微信
hrtechchina
