浅谈企业漏洞收集平台建设

2013-04-26 426857人围观 ,发现 58 个不明物体 企业安全其他

企业漏洞收集平台时下是个热点,从第三方的乌云漏洞平台,到甲方的腾讯漏洞提交平台,网易漏洞平台,再到乙方的360的库带计划。计划和筹划中的企业也很多。笔者有过多家企业漏洞处理响应经验,同时也是各大漏洞提交平台的常客,想借freebuf这个平台来写一点关于这个话题的自己理解和想法。

每个公司的企业文化和技术水平也是千差万别,面临的问题也会各不相同,笔者尽量列举通用性的问题。说的不好地方请各位看官轻拍。

准备工作

      首先漏洞修补平台对企业来说是一把双刃剑,在准备建设这个平台,我们就要做好接受可能出现正面负面影响的准备。这个平台的好处是能借助外部安全力量提供很多企业无法发现的漏洞,坏处是漏洞平台运营的高难度和高风险,因为黑客圈打交道,并不是一件简单的事情,很多时候是需要很多经验积累以及技巧的。同时一个优秀的平台需要有足够的活力,如何吸引更多白帽子来参与,而不是成为几个老手的游乐场,是运营人员必须考虑的问题。还有就是相应公关风险也是存在,需要有关注。

平台运营

      漏洞平台运营中间最核心的部分应该是漏洞核实修补检查和评定,而这也是最难的部分。漏洞核实修补检查看起来简单,其实要想做好也是非常难的。说简单也很简单不过是把提交上来的漏洞简单处理一下就转交给业务部门,由业务部门去修补,甚至有的时候直接转发业务部门,判断也由业务部门去做。这样虽然简单了,可是漏洞平台就成了某种形式上的传达室。办漏洞平台是为提高公司安全水平,但是这样单纯的转交明显违背了初衷,如何不把漏洞平台变成“传达室”或者“比传达室还传达室”(黑锅语),是需要平台建设者重点关注的问题。

      漏洞核实修补检查这个是非常有技术含量的工作,外部提交漏洞不可能完全描述清楚,而运营人员不仅需要有足够的技术实力去确认和重现漏洞,还要有一定业务知识来判断漏洞对企业的影响。在运营上尽量保证漏洞从平台流转给业务部门时候,就已经完成确认,如果存在疑问也和漏洞提交者沟通完毕,消除疑问。并且有可靠的POC和合理的漏洞等级,业务收到漏洞时候已经可以直接完成修补。而不至于出现业务部门提出对漏洞质疑,再由运营人员重新和漏洞提交者再沟通,重新要求POC的问题。

     漏洞定级也是重要运营中重要环节,因为漏洞平台对漏洞等级的评定也对应着相应的奖励,也是对漏洞提交者工作的认可和感谢。而这时候如何对漏洞定级就是一个非常棘手的事情,笔者多次因为这样的类似的事情和内部业务部门产生分歧。同样现在对漏洞提交平台上面提交的漏洞如何给出让漏洞提交者满意的定级,也是最容易产生分歧的地方。

      笔者在这件环节上和黑锅意见是完全不同的,当然笔者并不是认为黑锅的观点是错误的黑锅的观点很简单,他认为假设企业漏洞平台运营人员技术能力足够的话,就不会也不应该出现这些麻烦和疑问,拥有足够高的技术等级的企业安全人员可以直接给出漏洞符合的漏洞等级。根据这样的推论,解决这个环节的出现问题的方法也就变得简单了,只要将漏洞平台运营人员技术水平提高就可以了。所以黑锅认为解决大量的漏洞定级疑问的根本方法是企业漏洞平台将运营人员技术层次提高到足够高的水平。

      笔者对黑锅的方法是认同的,同样也认为平台运营人员必须提高技术水平,但是就算国内顶尖互联网企业都没有解决这个问题,其他企业想解决这个问题就更加难上加难了。安全人员培养一直是个难题,而且也需要时间,特别企业是不可能等待有足够安全人员再进行平台建设。

      如何让初级安全人员用简单的方法对漏洞进行评级,还是需要另外一种思路,这也是笔者较为推崇的漏洞打分机制,漏洞等级打分机制是基于对漏洞存在条件拆分,然后进行数学计算获得分数,然后根据这个分数来匹配上具体漏洞举例。通过对漏洞大类的举例和漏洞条件的拆分,初级人员也能直观取得漏洞等级的划分。通过大量样本的分析,制定出一套合理的漏洞打分机制,来解决因为技术水平不足带来的漏洞评级不准确的问题。关于笔者的方法可以看附图,或者见笔者BLOG链接。(附图1和附图2,blog链接)。

 

     这也是笔者的法治和和黑锅的人治两种解决方式,看官可以根据企业自身特点进行选择。笔者认为短期可以通过采取调集精兵强将的精兵政策来实现人治,但是长期运营还是需要依靠法治来实现。

     漏洞奖励方法,如何保证奖励不伤害到漏洞提交者积极性,奖励要有足够的价值,同样也应该有足够的覆盖面来鼓励后进者。目前只要有两种机制,排名制和积分制,各有利弊。

     笔者很反对排名制进行奖励,因为排名制会导致让奖励基本围绕在排名靠前的几个老手身上,而很多新人或者技术新手无法享受平台的奖励,有些时候还会产生不好的竞争情况,对平台长久运营不利。笔者比较倾向积分制,因为积分可以让新人尽早收获到奖品,虽然奖品可能不贵重,但是对促进新人融入平台却有很大的帮助,漏洞提交上不会受时间影响。虽然可能兑换制开销会比积分制大一些,如果考虑经费不足或者其他原因需要控制经费,可以通过提高,这样漏洞提交者也会理解。

结束语

      企业漏洞收集平台是对企业安全体系的很好的补充,运营的好坏很大程度上会影响漏洞平台发挥的作用。因为漏洞提交者能将自己付出劳动找到的漏洞提交给企业漏洞收集平台,也是对企业本身的认可。所以不仅仅需要企业对平台有足够的技术和资金投入,还需要运营平台的企业安全人员给予漏洞提交者更好的耐心和更多的理解。

这些评论亮了

  • aaa 回复
    1,感觉tsrc还是不够开放,提交的漏洞修复之后,也只有自己和平台管理员才能看得到,而往往有些漏洞往往产生的原理都是相同,如wooyun上的微信任意用户密码修改漏洞,结果很多其他企业也存在相同的问题,如果能公开、分享漏洞可能会更好
    2,关于“提高甲方人员水平“,其实个人感觉是可能是甲方乙方技术人员关注的重点不同。作为乙方技术人员,处于各种压力,就必须模拟攻击,深入各种漏洞利用技巧,使得漏洞危害最大化展现才能丰富报告,才能展现给客户看。甲方技术人员只要确认这个有漏洞即可,也和很多甲方安全技术人员聊过,问他们平时工作是干啥,回答很多都是”打杂的,啥都干“,他们往往还充当运维人员的角色,WEB安全也要干,服务器维护也要弄,工作中也很少需要、也没用时间深入挖掘这些漏洞的危害。所以我觉得是在这种环境下要提升甲方人员的专业技能很难,他们发展的方向往往会横向发展,什么都懂,但是都不会深入,都会往manager的方向发展。
    )22( 亮了
  • cnbird 回复
    有要郭美美事件种子 17g的吗
    )22( 亮了
  • Maizero 回复
    漏洞可以根据风险分析的思路进行评分,标准的建立可以在一定程度上可以避免分歧,黑哥提倡的提高甲方人员水平是必要的,但比较难以实现,毕竟人和人之间对某个问题的看法有分歧,“道行”不同,同一个漏洞的评价也不一样,“人治”总难免纷争,对平台的良性发展可能会有影响。
    和lz观点差不多,支持黑哥的提议,但同时标准也很重要,这样给白帽子也感觉到机制透明、一致性。
    标准可以参考OWASP测试指南最后的方法和思路,根据可能性和影响对漏洞所产生的风险进行评估。
    可能性又来自于威胁因素和漏洞本身的因素,影响又可以涉及到技术影响和业务影响,具体可以参考安恒翻译的OWASP测试指南中文版,愚以为思路可以落地,理论也比较靠谱,考虑的面也比较全。
    )19( 亮了
  • H3lvin (7级) 中国建设银行安全工程师 回复
    @radiowar  做个通用的评分标准我觉得比较困难,因为每个公司实际环境不一样,比如支付宝,可能会把敏感信息泄露作为高危漏洞,但是如果其他公司收集到敏感信息漏洞,可能仅仅作为一个低危漏洞来处理,所以在通用性上,可能还需要一个范围值跟专家评估值。
    )17( 亮了
  • cnhawk (4级) 支付宝安全专家 回复
    甲方企业的安全技术水平是参差不齐的,就算是腾讯这样的排名靠前技术实力雄厚的厂商,也不可能说没有任何失误。办这个平台就是要借助外部力量来修补自己的欠缺,至于从平台学到什么,那就是仁者见仁了。本文内提到的技术水平问题,并不是厂商的真实水平,只是特指平台运营人员的个体水平。
    )16( 亮了
发表评论

已有 57 条评论

取消
Loading...
css.php