2020年全球疫情蔓延,越来越多企业转战线上办公,互联网边界进一步拓宽的同时,随之而来的网络威胁也在不断增加。
在网络空间对抗日益军事化的国际形势下,网络安全已上升至国家战略层面。而漏洞是网络安全威胁的源头,一个重要漏洞的价值不亚于一枚导弹。随着我国漏洞信息共享与通报处置工作的持续加强,漏洞应急工作已卓有成效,对于重大安全漏洞的应对能力得到了不断强化。但事件型漏洞和高危0day漏洞数量仍在不断上升,信息系统面临的漏洞威胁形势依然严峻。
在此背景下,360漏洞云安全众测服务平台(简称360众测)应运而生,360漏洞云安全众测服务平台是围绕360漏洞生态体系打造的集漏洞情报、专家响应、安全服务定制化于一体的综合性安全服务平台。平台由世界顶尖的360 Vulcan(伏尔甘)团队担任技术引领,聚集高端安全研究人员,通过打造“人员可信,全程可视,风险可控,行为可阻,违规可溯”五可理念,以攻击者思维,在可控、安全的场景下,由白帽模拟黑客对业务系统进行全面深入的安全测试,帮助企业挖掘出正常业务流程中隐藏的安全缺陷和漏洞,并提出专业的修复建议,使企业先于黑客发现安全风险,防患于未然。
重塑众测新业态,提升企业安全感
安全众测作为一种基于互联网模式的渗透测试服务,通过互联网平台聚集安全人才,兼具任务发布灵活、结果反馈快速、测试效果显著、更具性价比等优势,受到诸多企业青睐。对企业来说,无需雇佣专职测试人员,取而代之的是一群“自愿”的安全研究人员注册并尝试发现企业资产中的漏洞,按效果计酬,用这种模式进行安全测试更能节约成本,提高效率。但由于安全众测平台聚合的专家在测试能力和渗透测试行为规范方面存在很大差异,对众测平台的审核及运营能力也提出了很大的挑战。
相较于目前国内其它安全众测平台,360众测综合运用平台约束、法律和技术管控为客户系统的定向漏洞挖掘建立了完善的过程保障体系,保障众测交付的整体质量。360众测通过严格的靶场准入机制和全程透明的安全把控监管模式,开创了众测服务新业态。其具备五大特征:
人员可信:平台实行非开放注册制,任何一名加入平台的安全研究人员均需提交个人信息,通过技术靶场检验,严格的背景调查及合同签署审核认证等机制,确保平台人员的身份可信、技能优越。
全程可视:360众测系列服务全程接入监控产品进行可视化支撑,通过对流量数据的监测分析及数据间的关联关系判断,识别当前动作所处攻击环节,同时定位攻击发起时间、攻击利用位置、攻击源等信息,形成完整攻击链的可视,使安全服务过程“实战化”呈现。
风险可控:360众测创新技术突破,是拥有全过程全流量监测分析能力的众测服务平台,可以对https进行全流量分析,全过程无死角,攻击过程大屏可视化展示。根据客户要求设置项目加入限制,并结合法律法规以确保正确开展工作。
行为可阻:360众测利用账户权限管理,对安全研究人员的临时项目测试账号进行严格管控,配合行为审计系统,一但发现测试过程中存在恶意、违规行为,将立即冻结测试账号权限,从而阻断测试通道防止产生后续损失,并永久取消其项目参与资格。
违规可溯:测试过程中,360众测通过技术手段对测试动作进行实时全流量捕获,形成审计日志,可进行溯源、实时反溯查处,平台所记录日志将遵循安全记录,永久保密的原则,且仅供客户及监管单位进行审计使用。
信任,原则,权威,共建,携手共建网络安全新生态
360众测的出现不仅创新了众测服务模式,也为企业和白帽搭建了O4T技术理念交流环境,通过Trust信任,Tenet原则,Top权威,Together共建,与安全专家携手共建网络安全新生态,共创21世纪第五维战略空间新纪元。
对企业来说,360众测具有严格的技术审核机制,所有注册人员都必须通过靶场技术考核才能注册成为交付人员,360众测筛选最优质的测试人员投入项目进行交付,保障企业获得更好的安全服务。网聚全网精英白帽,为企业建立起专属应急响应中心,千人千面,及时发现并处理漏洞威胁;对白帽来说,加入360众测不仅意味着收入上的提升,他们还将在项目中精进技术,并在平台上与其它白帽同台竞技,在实战中提升技术,为安全行业人才的发展带来了革新和活力。随着企业和个人开展漏洞挖掘、众测活动价值持续凸显,360众测也将对提高众测行业服务基准起到积极作用。