NSC2015董樾:众测模式下的互联网+安全

下面我们有请威客众测平台的COO董樾董总,他分享的题目是众测模式下的互联网+安全。

董樾:各位信息安全圈里圈外的朋友们,大家下午好!我是来自威客众测平台的董樾,但我的PPT写我是来自锦龙信安公司,我们威客众测平台是锦龙信安旗下的一个信息安全众测平台,今天我给大家介绍的是”互联网+信息安全”可落地的方式,用众测的方式来切入。

从原则上讲,我不算是安全圈的,我给大家介绍一下自己的经历。刚毕业的时候我从事的互联网工作,做过互联网+教育,互联网+新闻出版,互联网+司法,后来我发现互联网行业过于浮夸,缺乏落地,也是一个非常有幸的机会,我进入了一家信息安全公司,在2009年。当时那家信息安全公司也是七八十人,到现在五百多人,也是业内相对来说比较知名的。所以,我更加了解信息安全如何和互联网结合。

我们的习主席说了,没有网络安全就没有国家安全,没有信息化就没有现代。李总理提出了”互联网+安全”的概念。下面从我的角度帮大家理解认识一下如何将互联网+信息安全落地,它的本质是什么?

安全事件我不用介绍了,大家应该都了解,看各大网站头条的,现在抢各大网站头条的不是娱乐圈了,而是安全圈了,昨天携程被黑,支付宝被搞,安全事件真不少。今天金融帐号被盗,国际黑客骚扰,破解特斯拉天天吵。明天飞机被劫持,心脏起搏器失效,只有你想不到。因为”互联网+”系统,信息安全将覆盖整个”互联网+”,这是我们面临的情况。

我在讲互联网+之前,我们得先简单介绍一下信息安全行业。其实行业里有很多的角色,我现在只是把我们经常遇到的角色给大家介绍一下,一块是甲方,一块是乙方。甲方是相对于乙方来讲的,甲方自己从来不叫自己甲方,我们认为甲方就是信息系统运营使用单位,乙方就是信息安全产品和服务的提供方。

我们从甲方角度讲,信息安全做了很多年,从老三样一直到信息安全体系,一直到应用安全数据安全内网安全、等级保护,包括现在急于渗透的APT安全,大数据分析、信息安全预警和各种合规,发现信息安全事件更加多了,我们的信息安全是不堪一击的,对于我们甲方用户来讲,网页系统被篡改是小事,最重要的是数据被盗,黑客长期占有我们平台,它不攻击我们,就是我们现在讲的APT。更加可怕的是还有一些平台,业内的漏洞报告平台来公开报告我们甲方的漏洞,我作为甲方的信息安全负责人来讲,其实扛着很大的压力,我们买了不少设备,做了不少安全服务,最后发现漏洞一被公开披露。说某某单位存在安全漏洞,我们投入了很多建设,无法向领导交代,这是甲方的痛点。

下面我介绍一下乙方,乙方就是信息安全产品提供商或者说信息安全服务商。我当时是个技术,从一线守候工程师、守前工程师,行业技术总监,产品经理和产品市场经理等这条线走过来的,对于乙方来讲,作为一个工程师来讲,我们感觉每天有干不完的活,每天销售给我压很多的任务,我做不完。第三,我整体给客户写方案,写报告,做测试,我也没有时间学习,我也没有发展的机会。这是我们目前互联网信息安全甲方和乙方的现状。我来讲的是”互联网+安全”不是讲技术+安全,更多讲的是模式加安全。

讲互联网+信息安全之前,我先介绍一下传统互联网+其他行业。我在这里举个例子,我们看这张图,首先看一下三星手机,手机厂商是创造价值的,手机厂商想把我们的产品卖出去,它需要可以自己直销建自己的渠道,也可以找京东、淘宝、苏宁易购这些平台来帮我卖,这里我们就做了一个切割,做三星的手机它是创造价值的,苏宁易购和京东是帮三星手机传递价值的,也就是销售。这是手机行业。我们再看影视,电视行业,比如说爸爸去哪儿这个栏目大家都知道,是来自于湖南卫视做的一档节目,过去我们湖南卫视做好了这个节目靠自己的卫士播出去,我们每天晚上八点坐在电视机前看这个节目,可能性大吗?不大,所以湖南卫视创造了价值,但是互联网模式改变了它,帮它传递了价值。互联网也就是我们的视频站上线了以后,我们的用户可以任何时间任何地点看我们想看的节目。包括我们现在的数字电视,乐视和小米做的数字电视,打破了传统频道的概念。所以,频道还有意义吗?已经没有意义了。所以说互联网挑战了传递价值的属性。

下面我们往下看。不知道很多用手机的人装了很多APP,不知道大家有没有用过饿了吗这个工具。我以餐馆距离,谁是创造价值的,谁是传递价值的。过去我们认为一个餐馆里厨房是创造价值的,前台的桌子是传递价值,餐馆要挣钱必须有无数的翻台率才能挣钱。但受制于前台桌子的大小和多少,突然有一款APP叫做饿了吗?它做的是可以让餐馆直接做外卖,用户出差不想到餐馆吃,我可以直接下单从附近的餐馆定单,后来餐馆发现我80%的定单于这个APP,20%的定单来自于我这个前台的桌子,所以互联网扩大和传递了我们的价值。一个餐馆创造价值的真正是厨房吗?其实创造价值的是这个厨房的厨师。厨房的锅碗勺油盐并不创造价值,创造价值的是厨师。后来又一个APP五爱勺子上线了你可以找周围餐馆厨师来家里做饭,后来厨师发现我自己在餐馆挣钱不如我加APP挣的钱多,所以餐馆创造价值的人是厨师,互联网平台是为创造价值的人来传递价值,这就是互联网+的本质。还有很多的案例,我这里不举了。

下面我说一下信息安全,刚才讲了其他的行业,下面我说一下信息安全行业。信息安全行业谁来创造价值?是由信息安全服务提供商来创造价值,谁来传递价值,是由市场部门,我们的售前向我们的用户传播我们好的解决方案和好的产品、好的思路。那么实质上谁来创造价值?做过乙方的都知道,第一白帽子黑头工程师,这两年比较火的黑客入侵这些关键词,他们是创造价值的,帮我们的信息安全系统进行检测,他们检测出来的结果是可利用的。第二是我们的销售,销售为我们的用户提供服务,所以,销售是我们创造价值的。

下面说一下威客众测平台,我们就是连接了白帽子工程师和销售在这个平台上进行交流。我们现在集成了全国大概10万个白帽子,为我们的信息系统安全单位做检测,我们是用安全效果付费,检测不出是不用付费的。这样白帽子就有更多的精力愿意在我的平台上接单挣钱,所以更加激励了白帽子。这两年各类的黑客大户也非常火,这就是这些年在底层做技术的白帽子这些年浮出水面想为大家提供真正的信息安全检测服务。这就是信息安全传递价值。

刚才我介绍过了,我讲一下黑帽子和白帽子,黑帽子是有一定的信息安全技术但做一些不该做的工作,白帽子是帮助企业发现漏洞和检测漏洞。说到众测大家会扔鸡蛋,因为有些平台召集了白帽子并不是为企业解决问题,它首先把我们企业的漏洞给公开出来了,让我们的企业很难堪,我们企业的漏洞是企业自身的隐私,无须别人知道,我们自己知道,我们自己会进行建设。如果有些平台通过媒体的方式直接暴露我们的信息安全漏洞,这导致我们信息安全建设很被动。我们采用什么样的方式呢?底下有一个全民请愿方式,前段时间由国家漏洞信息响应中心组织的披露信息安全公约,它就是要求这些白帽子在给企业做检测的时候不要披露漏洞细节和企业名称,要控制,一旦被黑客和非法人员发现这些漏洞,将给企业带来非常严重的危害。所以,我们在平台上是比较柔和的采用了全民请愿的方式,在我们的平台上会有白帽子请愿,比如说最近拉卡拉,它涉及到个人金融和个人信息的安全,有白帽子号召群众请愿希望拉卡拉做信息安全建设,我们是情愿的模式来邀请大家做白帽子,这就是我们的请愿模式。

请愿说了一件什么事呢?就希望各类厂商、各企业、信息安全系统使用单位做好信息安全立体防护,让使用者们放心。信息安全其实就是一个用户对我们厂商信任的过程,因为大家知道安全是相对的,永远不可能有百分之百的安全。

第二,我们请愿模式的优势就是保障了我们厂商的利益,从政府监管来讲,也开辟了一个全新的途径和渠道。

下面我们再讲创造价值的环节,也就是我们白帽子。过去白帽子在一个公司里,它可能是按人天为人们提供服务,但通过众量平台,它可以在我们的平台上直接接项目。过去我们企业服务是按人天付费,一个企业给我们做检测,检测出来是用扫描器扫的,效果不是太好,但还要付很多的费用。但在众测平台上企业完全可以按照漏洞效果付费,找到付费,找不到不收钱,而且这些漏洞全是可以利用的漏洞,不能利用的漏洞不付钱,而且我们还提供详细的利用过程,这样我们的信息系统运营使用单位在整改过程中,它知道了怎么渗透,才能知道怎么防护,不知道怎么攻击怎么做防护。所以,过去我们在检测的时候,我们依据的是风险评估,就是GB-T20984的风险评估理论,我们又做合规包括一系列的合规,当然那些是体系性的风控的角度,但从技术的角度我们应该做哪块?这两年为什么各大厂商都在做APT建设这个系统,所以,让白帽子创造了价值,我们企业也受益,白帽子也受益,这个就是我们的平台,让白帽子最终受益,企业也最终受益。

这种传统的服务模式和众测模式相比,刚才我也讲了价钱问题。过去企业是按人天付费,我检测一个网站大概10万元钱,你在我们的众筹测模式,其实你只需要充2000到3000元就要一个高危漏洞也是可以的,我们企业知道我们的漏洞点在哪里,直接补上这个漏洞黑客就不来入侵,黑客的入侵也是在几个点拿到系统权限的,所以我们可以按时间和生命周期。还有一个优势,我可以按照漏洞的实力,比如一个企业想花五千元做一个众测,吸引的可能是低级白帽子,水平一般的,我花五万元钱来做众测,可能会把业界的牛人,比如我们现在打CTF大赛的诸葛建伟老师带的蓝莲花站队或者上海交大的OoPS战队,我们可以请他们的战队来做,所以,重赏之下,必有勇夫,我们提供一个平台,你在我们的平台上选择你想要的医生,但我们肯定保证能给你看出病,看不出病来不付钱。

有人讲众测体系不安全,会泄露我们企业的信息,其实我们有一套体系模型。首先我们看,开始我们如果想找白帽子做众测,我们的白帽子都是认证的,首先提交身份证和银行卡,如果你觉得白帽子不放心,我们可以请企业知名战队,像白细胞战队、OoPS战队,零差557战队(音)来做,如果你觉得战队不靠谱不可信,我可以让企业战队入驻,比如绿盟站队和天盟信(音)战队,虽然他们是企业战队,但他们做的只是承担一个风险的责任,但具体干活的还是这些白帽子。所以,随着你的信任度增加,当然我们的费用就需要增加了,如果你觉得企业也不可信,因为企业招的员工在渗透的过程中,我没有对它进行审计。比如我要一个企业来给我们做渗透测试了,我并没有全程检控它的过程,我们可以通过白帽子行为审计系统来实时监测白帽子渗透的行为,把白帽子整个从检测、渗透、利用和取证的过程全部记录下来,以视频的方式放给大家看。这样就建立了我们的众测可信体系。

还有一点非常重要,我们检测都要拿到企业授权的,我们不会自行为企业做检测,我们的白帽子不会再互联网平台自己检测我们的漏洞并且曝。所以,我们是目前来讲全球,为什么我敢讲全球,因为我也调查过国际,它还没有这种模式,所以,我们是全球第一个基于授权的可信的漏洞交易平台,所谓的可信就是拿到企业的授权,并且我有刚才的金字塔模型。

另外,刚才我讲了让白帽子创造了价值,另外就是我们的销售,我们的销售有时候也很苦,我们知道信息安全现在是风险非常大,但是很多用户说我们信息安全建设的非常好,我觉得我们已经很安全了,那好吧,销售说我给你渗透一下吧,给你们做一个检测,看看你们的系统能不能被入侵,这样销售会找自己的团队来为大家做检测。但自己的团队由于服务的销售太多,它没有精力和时间,这样销售可以在我们的平台上让白帽子找一个信息安全,找一个信息系统运营单位的使用漏洞,告诉他你的信息系统其实是不安全的,你需要做安全。这样对于销售的攻坚成本和拿项目的成本来讲也大大降低了。所以,销售也省了,白帽子也爽了,企业在这块我们会提供更加基于检测结果的防护方案,可能我们不是从体系的角度来给大家介绍,比如等保(音)体系,物理安全做什么,主机安全、数据安全或者按照20984标准,或者有各行业的行标,或者等保基本要求,GBRS2039这些来做加固,我们基于检测的结果提供加固的解决方案,对企业来讲,其实是将钱花到了刀刃上,节省了我们信息安全的建设费用。

我们平台的流程首先是销售需要拿到油壶的检测授权,这是必须的,销售要在我们的平台认证,销售会在我们的平台充值。充值以后,它可以为企业发个众测,比如我想做京东的项目,京东说我们很牛,我们没有漏洞。销售说,我给你找一个漏洞你服吗?销售会自己充值,在我们的平台买悬赏一个高危漏洞,拿这个高危漏洞跟京东说你服吗?他服了,我们开始提供如何解决这个问题。发布众测了以后,白帽子就可以来接单了,我们就可以按照漏洞交付给用户了。我们平台会最终确认,在漏洞审核的过程中,我们需要平台审核,用户方二次审核,用户终审,白帽子才能拿到这个钱。所以,我们这个模式就是互联网+信息安全的模式,也是在业内来讲第一个做的平台。那么现在白帽子众测平台已经发布了,马上我们发布的是吸收在线充值平台,大概是在7月8号和9号左右,希望大家关注。

我再重申一下,威客众测平台没有产品,我们只是企业信息安全运营使用单位安全的保卫者。谢谢。

上一篇:NSC2015王广清:燃气行业信息安全体系建设

下一篇:NSC2015张军锋:国家重要信息系统载体全生命周期管控研究与实践