安全众测或安全众包并不新鲜。自2013年各大安全众测平台(如HackerOne、Bugcrowd、Synack)推出以来,一直作为可消费的企业安全服务存在。这些平台正在逐渐挑战传统的渗透测试方法,并开始蚕食其市场份额。在接下来的七年里,更多的安全众测平台和竞争对手涌现,争夺这个不断增长的市场。然而,众包安全真的是解决传统安全渗透测试弊病的灵丹妙药吗?会引起更多疑问吗?在回答上述问题之前,我们先简单回顾一下传统渗透测试的实际问题。持续开发和交付:胶片相机无法拍摄视频。传统的渗透测试服务往往周期较长,类似于汽车年检,这显然与当今企业敏捷应用开发和网络安全威胁发展速度不匹配。很多企业以每周、每天或持续交付的方式部署应用,不断改变环境和应用,从而不断引入漏洞、配置和违规(甚至淘宝最近的测试包弹窗重大产品事故也可以归类为这样的)。在这种数字化、敏捷的环境中执行的渗透测试只能生成特定时间点的安全态势快照(渗透测试的公认定义)。加上起草报告、通过QA并将其交付给客户所需的时间(通常为数周),正式的测试报告在生成时已经过时,因为客户环境在此期间发生了多次变化,不再代表最初测试的内容。限时:萝卜快洗泥了。发现那些无价或强大的漏洞往往是一门艺术和杰作。然而,传统的渗透测试服务有很多商业上的限制,其中最显着的就是Deliverytimelimit。渗透测试项目通常会给测试人员留下非常紧张的时间表。一个网站渗透测试项目往往只有5天时间,一天用来写报告,这意味着渗透测试人员没有太多时间去钻研web应用的每一个角落,往往需要做出取舍根据项目周期。忽略很多耗时的问题。技能错位:直肠科医生、眼科医生、安全专业人员和渗透测试人员的技能之间存在差异和错位。有些人更擅长测试移动应用程序,有些人更擅长测试API安全和Web应用程序。在人才紧缺的现实中,经常会出现本段标题所描述的情况。并且,由于网络安全技术如此多样化,即??使在专业渗透测试人员的细分领域内,技能仍然存在显着差异,您经常会遇到两个不同的渗透测试人员测试同一个应用程序并发现差异。漏洞。鉴于当今招聘熟练的安全技术专家有多么困难,组织在克服技能错位方面没有太大的影响力。解决这个问题的策略是每年“轮换”渗透测试供应商,??但是,由于渗透测试的人才库非常小,即使你更换渗透测试供应商,??你也很有可能最终与同一个人进行测试。渗透测试综合症:大于风险就是垃圾风险所谓渗透测试综合症,有点类似于“人口贩卖”,会让企业的安全状况看起来比实际情况更糟。渗透报告中的一个常见做法是讨论发现的问题,尤其是在找不到关键问题的情况下。一些微不足道的安全问题被夸大并标记为“中度”甚至“严重”问题,最终渗透测试报告变成了“垃圾风险”报告,误导或浪费了公司的安全资源,并没有提升公司的安全能力。商业模式:昂贵的锤子最后,传统渗透测试的商业模式有一个很大的缺点:你需要保留一个全职的渗透测试人员,并且你必须支付给他们有竞争力的薪水(如果你不能给他们有竞争力的薪水而这人不走,就代表你的钱浪费了),此外,公司还需要拨出专项预算,包括用于渗透测试所有设备和应用程序的许可(如BurpsuitePro许可等),以及测试人员提供必要的技能培训,并慷慨资助他们参加各类安全会议,提高技能,激发激情。这对于企业来说无疑是一笔不小的开支和负担。安全众测是如何解决这些问题的?安全众包/众测采用灵活开放的渗透测试商业模式来解决上述问题。公司没有支持专门的测试人员,而是有一群“志愿”安全研究人员,他们注册并尝试发现公司资产中的漏洞,按件付费。如果他们一无所获,企业无需支付任何费用。安全众测首先解决的问题是渗透测试的“时间限制”。渗透测试人员不再只有5天的时间来深入研究应用程序,众包渗透测试通常是时间无限的,这意味着您可以花费数周甚至数月的时间来寻找难以捉摸的Critical漏洞,并且效果显着。根据一位成功的众包渗透测试员的说法,经过数周的漏洞搜索,他发现了一家市值数十亿美元的纳斯达克上市公司的一个严重缺陷,该缺陷可能已经泄露了超过1亿的客户详细信息。泄露。由于该漏洞的复杂性,传统渗透测试专家没有时间深入调查(他们过去依赖传统渗透测试并没有发现该漏洞就是证明)。此外,这种开放的渗透测试方法还可以解决前面提到的关于持续交付和时间点测试的第二个问题。众包安全可以为不断变化的基础设施提供持续的渗透测试(前提是你的资产可以吸引足够多的安全人员“池”)。这就引出了第三个问题:技能和商业模式。众包安全平台最大的商业模式优势是没有全职员工。加入渗透测试的自由职业者自备干粮,平台无需支付工资,甚至设备材料费用。为了弥补技能的不足,他们只需要为特定项目匹配更多的兼职渗透测试人员。解决安全问题的效率最终变成注意力经济游戏,类似于淘宝的直通车。只要你舍得花钱,项目越火,问题发现和解决的速度就越快。如果你不相信我,看看特斯拉。最后,安全众包通过结果驱动的激励解决了渗透测试综合症问题。如果您提交的问题不是真正的错误,并且不提供概念证明,它将被忽略。更糟糕的是,你会因为浪费客户的时间而被扣分甚至被平台开除。因此,在安全众包平台上,渗透测试人员提交的可利用漏洞更多,而不是充满“垃圾风险”的报告。安全众测的四大“大坑”虽然安全众测解决了传统渗透测试的诸多弊端,但企业应该清醒地认识到,安全众包并不是万能的,更不是渗透测试的替代品。今天的安全众测还存在很多问题,其中有一些是与商业模式基因相关的先天性问题特别难:1.内外部测试安全众测不适合那些需要在公司内部进行的测试。在典型的渗透测试中,一名安全顾问亲自来到企业客户的办公室,将笔记本电脑接入企业,然后测试开始。这在众测的情况下是不可能的,它需要设置复杂的VPN和/或代理组合,并且网络必须能够承受数十个(甚至数百个)并发测试负载。这也是为什么迄今为止大部分安全众测业务都集中在Web安全领域的原因,因为Web应用安全测试可以从任何地方发起,接入成本和复杂度都比较低。对于物联网和智能硬件设备,安全人群测试意味着厂商需要为每个测试者提供一个产品(比如智能跑步机),这可能会花费很多钱。而且,如果测试人员遍布全球,测试的成本还会不断飙升。2.资源储备有限在全球安防人才短缺的今天,进攻型安保领域也面临着人才短缺的问题。虽然安全众测理论上可以使用全球安全人才资源库,但实际操作中的资源库也是有限的。如果你能花时间去调查一下市场上几个主流的安全众测平台,你会发现一个“惊喜”——赏金榜几乎被一小群专家占据。尽管安全众测平台的营销材料会吹嘘全球有数千名顶级安全专家,但残酷的现实是,如今该平台发现的大部分漏洞都被一个不超过20人的小圈子垄断.这会产生资源问题。安全众包测试公司需要不断壮大,因此需要更多的客户,发布更多的测试项目,众包公司也需要越来越多的风险投资。平台越大,测试需求越多,需要更多的渗透测试人员,但遗憾的是,渗透测试劳动力市场已经是饱和的存量市场,能上场的选手都已经上场了。你不能强迫更多的自由职业者参与你的测试项目,因为参与的人太多,带宽不够。3、众包渗透测试的成本虽然安全众测公司以成本为卖点,但从任何角度看,众包渗透测试都不便宜。今天,外部网站渗透测试服务的成本是项目天数乘以顾问的每日费率。以一个为期五天的传统网站渗透测试项目为例,每天咨询费为1200美元,你需要支付的总费用约为6000美元。但如果选择安全众测,最终需要支付的平台费用可能是费用的很多倍。最重要的是,你必须为你发现的每个错误支付赏金,所以你发现的错误越多,你支付的越多,这意味着你的成本很快就会失控。这里需要注意一个“可控成本”的特例:Synack(安全公测平台之一)只收取平台费用,所有漏洞奖励费用由平台承担。然而,由于进入壁垒高,这种模式孤立了大多数中小企业。目前,联邦制是中小企业的唯一选择。联邦系统的平台成本和漏洞奖励支出较低。甲方企业虽然会高兴,但收入少了对科研人员(尤其是高水平科研人员)的吸引力就小了。4.共享黑客经济?虽然共享经济这个词用的不好,但是安公考的本质确实是共享经济。可以叫它威客经济,也可以追溯一下它的英文名字——GigEconomy。人们很容易想到一些熟悉的共享经济,例如Uber和Airbnb,它们的特点是系统地(甚至更残酷地)剥削那些放弃传统福利和保护(例如养老金和病假工资)的人的自由。专业的。但是,有一个关键的区别:共享经济中的平台,比如共享出租车司机,其实都是计时工,只要提供服务,他们的报酬就与工作时间相匹配。但从事众包渗透测试的安全研究人员就像非洲大草原上的猎豹,再怎么努力,如果没有发现漏洞,也将“一无所获”。事实上,大多数渗透测试人员一天甚至几天都找不到一个漏洞,他们也没有退休金。不仅如此,要参加安全公测,还需要自费购买所有工具,比如越狱的iPhone、专门安装KaliLinux的笔记本电脑、BurpSuitePro软件许可证等等.对于众包安全公司来说,这确实可以节省大量成本,因为它们“有效地”解决了渗透测试服务公司苦苦挣扎的商业模式问题,但副作用是对专业劳动力的苛刻剥削。总之,公平地说,虽然传统的渗透测试和人群测试各有问题,但这两种方法确实可以互补。没有一种攻击性安全测试“快餐”解决方案可以解决所有问题。在当今安全形势和威胁极其严峻的环境下,每个企业的CISO都应该意识到,最好的实践和方法是自己摸索出来的,而不是(用钱)扔出去的。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
