记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

补天推出众测新方案 它有哪些不一样?

2016-04-10 01:10

今天上午,小编参加补天颁奖典礼及新平台发布会。发布会上,补天重金奖励了2015年做出突出贡献的白帽子,并首次推出为企业量身打造的补天众测服务。

640.webp

作为安全领域的行业媒体,小编自然最关心这个新众测方案的运营机制和特点。下面是小编整理出的关键点:

一、目前企业如何解决安全风险

1. 自建SRC。优点是有效且快速的获取自身安全漏洞信息,缺点是资源的投入。

2. 自建团队。自建安全团队能够对自己的业务及时安检,排查漏洞,但安全团队的工作量和企业需要进行安全测试的工作量,明显不对等。

3. 购买安全设备。设备确实可以在一定程度上提升安全水平,但设备同样也有局限性,比如逻辑漏洞。因此,人机结合才是最有效的解决手段。

4. 购买安全服务。介于以上种种问题,安全服务能够有效的缓解,提升安全能力,可效果好的安全服务费用太高。

二、企业解决安全风险遇到的常见问题

1. 组建安全团队成本高,并且安全人员的稀缺以及技术水平参差不齐,无法做到全面深入的安全测试。

2. 缺乏专业的漏洞修复建议和对修复结果的检验机制。

3. 业务频繁更新产生新漏洞。如何第一时间获取漏洞信息是一个亟待解决的问题。

4. 担心使用众测服务引发新的安全风险。

三、补天众测的特点

1. 精英选拔,按效果付费。补天从优秀白帽子中为企业量身挑选30到50名精英白帽,提供定制化测试服务,并且无漏洞不收费,付费只和测试项目效果有关。

2. 提供修复建议,并跟踪回检。对于众测中发现的漏洞,平台的安全专家提供专业修复建议,并会在漏洞修复后,即刻跟踪回检,确保漏洞彻底修复。

3. 漏洞预警,多重保险。后者是指补天会为企业就测试项目提供漏洞保险的服务,如果在一定的时间内再次发现漏洞,平台为这些项目提供私有SRC级别的服务,包括对漏洞的信息进行隐藏等。

4. 实名认证。参与补天众测的白帽子均完成实名认证并签署保密协议,同时通过VPN安全接入结合平台独有的网络流量记录和分析产品,全程记录白帽子操作行为,做到有据可查。

四、补天众测服务的流程

640.webp (1)

好了,专业的事谈完后,该谈谈钱了。

补天平台2015年年度获奖项目与名单

最受白帽欢迎厂商:

大众点评、携程网、金棕榈

优秀白帽团队:

SSS安全团队(三等奖)
Ghost攻防实验室(二等奖)
POI团队(一等奖)

奖励:360手机,360网络攻防实验室终身荣誉会员

年度杰出贡献个人:

backda()、ghost、weiy_(三等奖)

奖励:5000元奖金,ISC大会5000元参会基金

carry_ your、system_gov(二等奖)

奖励:8000元奖金,亚洲级会议10000元参会基金

a0(一等奖)(15年在补天提交漏洞929个,171个精品漏洞)

奖励:10000元奖金,30000元 black hat 参会基金

干货介绍完了,来点儿湿的。

漏洞众测这一新兴的安全服务,从一开始不被认可到现在各大众测平台的全面开花,漏洞价格的直线攀升,反应出越来越多的企业对这一安全服务新形式的认可和接受。在网络安全水平发达的美国,国防部竟然会公开邀请黑客攻击五角大楼,帮助军方寻找漏洞。

诚然,漏洞披露的方式以及白帽子的身份可信也存在着一些问题。正如国家互联网应急中心运营部副主任严寒冰在致辞中所言,漏洞平台在进行信息披露时,要遵循“客观”、“适时”、“适度”三个原则。同时,白帽子群体也要加强自律,杜绝一切超越道德和法律底线的行为。

最后,是补天平台的一些数字:

白帽子:近2万名
有效漏洞:7万+
发放奖金:620万+

获奖金最多的一名白帽子拿到了约45万元。另悉,2016年补天平台预计将投入总额达500万至1000万元作为奖金。

好了,就介绍到这里,下午还有几场好玩的演讲,小编听会去啦!

相关阅读:

美国国防部邀请黑客攻击五角大楼

 

知识来源: www.aqniu.com/industry/14855.html

阅读:116065 | 评论:0 | 标签:行业动态 漏洞奖励 白帽 补天众测

想收藏或者和大家分享这篇好文章→复制链接地址

“补天推出众测新方案 它有哪些不一样?”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云