您的企业SRC专属白帽子已上线——漏洞盒子

美国西部,飞沙走石的旷野上,两个人穿着相似的紧身衣、窄腿裤,脚蹬长统靴,胯边垂着火筒枪,唯一不同的是头戴的宽边帽,一白一黑... ...这样电光火石的对决在网络安全的世界里也是有的,可企业绝不能让业务和数据冒这样的风险,于是考虑从攻防焦点的“漏洞”入手,纷纷成立或者正在成立自己的安全响应中心(Security Response Center,SRC)。

大型企业为此会专门雇佣白帽子黑客来刺探他们的网络、系统和应用程序,以提前发现漏洞。但是,请注意,是“大型企业”,可以说,当前现实的企业SRC的管理情况就如斗象科技联合创始人CTO张天琪所解释的:“对于大企业来讲,资源虽然不是问题,但SRC毕竟不是核心业务,投入有限。而中小企业本身资源就有限,重业务而轻安全是普遍现象,在安全当中的投入更是捉襟见肘,且人员配备不足。”完美世界信息安全部信息安全总监何艺皱眉道:“作为企业SRC负责人,运营好一个SRC是个耗精力、耗资源、耗技术的苦力活” 如此说来,企业的企业SRC管理就像个烫手山芋,扔不得、留不得了?

上海斗象信息科技有限公司联合创始人兼CTO张天琪

漏洞盒子产品经理来勇介绍表示:“针对企业SRC运营成本较高、软件设施不全、宣传效果不好、人员流动性大、平台稳定性不强、团队技术性不强、漏洞响应不够及时等问题,漏洞盒子企业SRC提出了自己的解决方案。”近日,漏洞盒子“拉拢”了信息安全白帽子们,和多个企业的SRC代表齐聚一堂,发布了漏洞盒子企业SRC(安全应急响应中心)。

漏洞盒子产品经理 来勇

关于漏洞盒子,大家都知道他是通过进行漏洞挖掘,为企业用户提供互联网安全测试服务的平台。作为上海斗象信息科技有限公司(斗象科技)旗下安全产品之一的漏洞盒子,其安全测试服务结合了自有安全团队、核心白帽子团队和认证白帽子专家三方面,其中不乏曾供职于阿里、百度等大型互联网公司的优秀技术人员,能够模拟真实环境的黑客进行漏洞挖掘与演练,将产品的安防壁垒不断提高。何艺作为漏洞盒子企业SRC的代表也表示:“漏洞盒子因为拥有白帽子生态资源,他的SRC运营能力具有天然的优势。”

来勇具体从产品、功能特性和对企业信息安全建设的价值及合作模式等方面,介绍了漏洞盒子企业SRC。简单来说,就是企业可以用更低的成本、更简单的运营,将白帽子直接招致麾下,得到更高效的企业SRC服务。

据了解,漏洞盒子企业SRC的具体流程一般是,白帽子在平台提交漏洞后,由平台或企业自行来审核漏洞。企业方面,企业可以自行编辑页面信息,需要在平台公布自己的奖金设置等级及额度,设置授权测试域、运营数据、漏洞规则声明等;平台方面,漏洞盒子企业SRC平台将奖励发放调整到漏洞确认环节,根据漏洞的有效性、级别、报告质量、涉及资产范围等维度进行计算,核实后直接向白帽子发放奖励,整个流程缩短至1~7天,这相较于以往的1~3个月的漏洞审核流程周期有了大幅度的提升。同时平台还进行积分和奖金的排名,以此激励白帽子。此外,平台帮助入驻的企业SRC进行持续性宣传、白帽子KOL管理、线上线下活动策划,日常纳新、留存和促活等活动支持。据悉,目前漏洞盒子平台有效白帽子数量达3万+,月活5千+,累计为企业提供漏洞155865个,平均每天收取漏洞500+。

漏洞盒子企业SRC平台能够很好的回应张天琪所强调的“企业SRC的管理需要‘三分建设,七分运营’”的理念,漏洞盒子企业SRC作为连接白帽子和企业的桥梁,能够为企业提供一站式全托管模式与半托管安全托管服务,帮助企业实现更便捷高效的SRC运营,很好地起到协助企业构建定制化SRC的作用。联想集团安全应急响应中心作为支撑联想集团全球信息安全建设的重要部门,也借本次发布会正式入驻漏洞盒子企业SRC,与漏洞盒子建立长期的战略合作,联想集团信息安全高级经理宋文宽先生代表联想集团,接受了联想集团SRC入驻漏洞盒子企业SRC的授牌。

中国网络安全产业联盟陈兴跃秘书长肯定道:“我个人觉得今天的漏洞盒子企业SRC发布会很创新,它的发布更好的解决了在当前黑客攻击泛滥的情况下,企业网络安全威胁情报所获取的及时性、有效性问题。”国家互联网应急中心运营部李佳副主任总结表示:“漏洞盒子平台推出企业SRC这样的产品和服务,帮助企业建立信息安全威胁信息和情报的搜集渠道,主动地提前和提早感知企业信息安全威胁,做到预防、判断和预先解除,从安全地应急和协调处理地角度,做到了防微杜渐或者说减少了安全危险产生更大地损失。“

     

       中国网络安全产业联盟秘书长 陈兴跃            国家互联网应急中心(CNCERT)运行部副主任 李佳

漏洞盒子企业SRC的发布促进了网络安全白帽子、企事业单位的互利结合,让企业得到高效的安全能力的同时,也给了白帽子实现自身价值的平台,实现双赢。来勇最后补充:“针对平台宣传,市场团队则会定期策划线上线下活动,日常运营工作得以持续进行、推陈出新;我们本身拥有安全行业的资源和力量,且在漏洞管理和处置体系方面拥有三年的实践经验,未来的投入将会是十足和长久的。”

原文发布时间为:2017年5月15日

本文作者:杨昀煦

时间: 2024-08-05 15:02:18

您的企业SRC专属白帽子已上线——漏洞盒子的相关文章

网易SRC指责白帽子私自披露已修复漏洞,强势表态违刑必究

本文讲的是网易SRC指责白帽子私自披露已修复漏洞,强势表态违刑必究,网络安全法实施第一天,网易安全应急响应中心(NSRC)和一位白帽子争执了起来. 在今天下班时分,网易SRC发布了一则言辞极为激烈的声明,指责平台上有白帽子不遵守平台漏洞测试原则,未经授权情况下,擅自公开披露了一例已修复漏洞的细节. 以下为声明全文: 网易安全应急响应中心一直秉承合作.开放的心态与广大白帽子切磋交流,也非常感谢每一位支持网易安全建设的安全伙伴.<中华人民共和国网络安全法>于即日起正式实施,我们呼吁每一位白帽子仔细

【2016阿里安全峰会】封闭的冲突与开放的和平:白帽子与SRC【附PDF下载】

一年一度的阿里安全峰会创立于 2014 年,每年在7月举办,今年已是第三届,今年于7月13-14日在北京国家会议中心举办.阿里安全峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织.信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践.热点议题.信息安全人才培养.新兴技术与发展趋势等,会议聚焦云安全产业.电商金融支付安全创新,关注互联网移动安全应用,共同建设互联网安全生态圈,以推进网络空间安全建设,为网络世界蓬勃发展做出贡献力量. 2016 阿里安全峰会设立12个分

聚焦2017网络安全生态峰会 网络安全法时代白帽子如何安全成长

白帽子是什么? 提及白帽子,可能许多人不知所云.但是说到黑客,大家立马就会想到那些十指在键盘上翻飞,肆意的翻越防火墙获取信息,可以轻而易举的敲出一串代码让目标机器冒起一阵黑烟,掌握高超的计算机技术的黑衣人. 其实这并不是黑客的真实写照,有一类黑客会让你对黑客这个群体有全新的改观.他们以发现网站的程序漏洞为职业,在漏洞被利用前对漏洞进行修复.他们酷似网络世界中的游侠,被称呼为"白帽子". 四月,i春秋SRC部落守卫者集结令的消息悄然在白帽子社群中传开,一时众多通过严格筛选的白帽子纷纷涌入

揭秘白帽黑客:优秀女白帽子比大熊猫还稀罕

12306的用户信息泄露漏洞.携程用户信息泄露漏洞--频发的系统漏洞隐患也让网络安全问题愈发受到关注.发现这些安全漏洞的,并不是某个人或者某个公司,而是一个被称为"白帽子"的群体.白帽子属于黑客,但是又在做着守护光明的事情,他们是网络世界白与黑的交集.他们都是些什么样的人?过着怎样的生活?是否像传闻中说的那样动动手指就有大笔收入--记者尝试走进他们的世界,告诉你白帽子们真实的一面. 白帽子是谁 "换个高大上的说法,白帽子就是网络安全的守卫者." 武侠的世界有&quo

网络安全“白帽子”深陷法律漩涡

核心提示 酒店开房记录被泄露.第三方支付网站漏洞被曝光--在安全事件层出不穷的网络上,有一群志愿抗击黑客攻击.帮助企业修复安全漏洞的网络安全专家.这些被称为"白帽子"的专业人士,在维护网络安全的同时,自身也面临着法律风险-- 检测漏洞却被报警拘留 "我儿子袁炜检测出'世纪佳缘'的漏洞让对方修复,'世纪佳缘'却报警抓了他.从3月8日被抓进去,至今已有半年,我们家人到今天还弄不清楚,袁炜到底犯了什么罪? "谈起儿子,双鬓斑白的袁冠阳连连叹息. 64岁的袁冠阳,原本对互联

乌云关闭数日 白帽子行业前途堪忧

本文讲的是 : 乌云关闭数日 白帽子行业前途堪忧   ,  [IT168 评论]自7月19日晚11点乌云平台关闭至今已有五天时间,登录到乌云平台,首页依旧张贴着7月20日的"服务升级公告",在乌云平台关闭的这几日里,圈子里各种版本的猜测不断. ▲7月20日乌云平台贴出"服务升级"公告 乌云官方给出的解释是服务升级,并张贴公告称"与其听信谣言,不如相信乌云".但自此之后乌云就再没有做出过任何相关的解释,这就不得不引起大家的各种猜测. 传乌云十余高管

提交世纪佳缘漏洞后被抓,“白帽子”如何免责

袁炜事件 "我儿子袁炜检测出'世纪佳缘'的漏洞让对方修复,'世纪佳缘'却报警抓了他.从3月8日被抓进去,至今已有半年,我们家人到今天还弄不清楚,袁炜到底犯了什么罪?"双鬓斑白的袁冠阳近日在接受记者采访时连连叹息. 提交世纪佳缘漏洞后被抓,"白帽子"如何免责 今年64岁的袁冠阳,原本对互联网一窍不通,儿子袁炜出事后,他多方请教专家,想弄明白儿子究竟犯了多大的事.袁冠阳告诉记者,袁炜是互联网漏洞报告平台--"乌云网"上的一名"白帽子&quo

周鸿祎演讲全文:怒挺白帽子,自爆当年研究病毒往事

 雷锋网按:今天(2月23日),360董事长周鸿祎在360安全应急响应中心的三周年庆典活动上,表达了自己对白帽子黑客的态度以及未来网络安全人才引导的思路.他呼吁企业给予善意的白帽子支持和理解的态度,呼吁政府出台政策对白帽子这类安全人才进行保护和鼓励. 他认为,由于互联网的迅速普及及正规教育的迟滞,导致在过去十几年从事网络安全的人没有得到好的引导,容易一旦受经济诱惑进入地下黑产,造成极大的破坏.因此应该鼓励并引导这些有技术能力的人才走上正途,而不是利用发现的漏洞从事违法活动. 以下是周鸿祎演讲全文

乌云和漏洞盒子停业整顿:白帽子被抓是导火索?

"袁炜事件"可能成为中国"白帽子"黑客江湖的转折点. 7月20日凌晨,中国最大漏洞报告平台乌云网(WooYun)突然无法访问.网站公告称,乌云及相关服务将升级,并称将在最短时间内回归. 漏洞报告平台乌云网暂时关闭升级. 与此同时,澎湃新闻(www.thepaper.cn)发现,7月19日,企业级互联网测试平台漏洞盒子宣布,暂停接受互联网漏洞与威胁情报."白帽子"黑客报告漏洞的页面已经无法查看.(编注:在IT界,"白帽子"指的是