浅谈企业漏洞收集平台建设
比特网 发表于:13年04月28日 09:33 [转载] DOIT.com.cn
企业漏洞收集平台时下是个热点,从第三方的乌云漏洞平台,到甲方的腾讯漏洞提交平台,网易漏洞平台,再到乙方的360的库带计划。计划和筹划中的企业也很多。笔者有过多家企业漏洞处理响应经验,同时也是各大漏洞提交平台的常客,想写一点关于这个话题的自己理解和想法。
每个公司的企业文化和技术水平也是千差万别,面临的问题也会各不相同,笔者尽量列举通用性的问题。说的不好地方请各位看官轻拍。
准备工作
首先漏洞修补平台对企业来说是一把双刃剑,在准备建设这个平台,我们就要做好接受可能出现正面负面影响的准备。这个平台的好处是能借助外部安全力量提供很多企业无法发现的漏洞,坏处是漏洞平台运营的高难度和高风险,因为黑客圈打交道,并不是一件简单的事情,很多时候是需要很多经验积累以及技巧的。同时一个优秀的平台需要有足够的活力,如何吸引更多白帽子来参与,而不是成为几个老手的游乐场,是运营人员必须考虑的问题。还有就是相应公关风险也是存在,需要有关注。
平台运营
漏洞平台运营中间最核心的部分应该是漏洞核实修补检查和评定,而这也是最难的部分。漏洞核实修补检查看起来简单,其实要想做好也是非常难的。说简单也很简单不过是把提交上来的漏洞简单处理一下就转交给业务部门,由业务部门去修补,甚至有的时候直接转发业务部门,判断也由业务部门去做。这样虽然简单了,可是漏洞平台就成了某种形式上的传达室。办漏洞平台是为提高公司安全水平,但是这样单纯的转交明显违背了初衷,如何不把漏洞平台变成“传达室”或者 “比传达室还传达室”(黑锅语),是需要平台建设者重点关注的问题。
漏洞核实修补检查这个是非常有技术含量的工作,外部提交漏洞不可能完全描述清楚,而运营人员不仅需要有足够的技术实力去确认和重现漏洞,还要有一定业务知识来判断漏洞对企业的影响。在运营上尽量保证漏洞从平台流转给业务部门时候,就已经完成确认,如果存在疑问也和漏洞提交者沟通完毕,消除疑问。并且有可靠的POC和合理的漏洞等级,业务收到漏洞时候已经可以直接完成修补。而不至于出现业务部门提出对漏洞质疑,再由运营人员重新和漏洞提交者再沟通,重新要求POC的问题。
漏洞定级也是重要运营中重要环节,因为漏洞平台对漏洞等级的评定也对应着相应的奖励,也是对漏洞提交者工作的认可和感谢。而这时候如何对漏洞定级就是一个非常棘手的事情,笔者多次因为这样的类似的事情和内部业务部门产生分歧。同样现在对漏洞提交平台上面提交的漏洞如何给出让漏洞提交者满意的定级,也是最容易产生分歧的地方。
笔者在这件环节上和黑锅意见是完全不同的,当然笔者并不是认为黑锅的观点是错误的。黑锅的观点很简单,他认为假设企业漏洞平台运营人员技术能力足够的话,就不会也不应该出现这些麻烦和疑问,拥有足够高的技术等级的企业安全人员可以直接给出漏洞符合的漏洞等级。根据这样的推论,解决这个环节的出现问题的方法也就变得简单了,只要将漏洞平台运营人员技术水平提高就可以了。所以黑锅认为解决大量的漏洞定级疑问的根本方法是企业漏洞平台将运营人员技术层次提高到足够高的水平。
笔者对黑锅的方法是认同的,同样也认为平台运营人员必须提高技术水平,但是就算国内顶尖互联网企业都没有解决这个问题,其他企业想解决这个问题就更加难上加难了。安全人员培养一直是个难题,而且也需要时间,特别企业是不可能等待有足够安全人员再进行平台建设。
如何让初级安全人员用简单的方法对漏洞进行评级,还是需要另外一种思路,这也是笔者较为推崇的漏洞打分机制,漏洞等级打分机制是基于对漏洞存在条件拆分,然后进行数学计算获得分数,然后根据这个分数来匹配上具体漏洞举例。通过对漏洞大类的举例和漏洞条件的拆分,初级人员也能直观取得漏洞等级的划分。通过大量样本的分析,制定出一套合理的漏洞打分机制,来解决因为技术水平不足带来的漏洞评级不准确的问题。关于笔者的方法可以看附图,或者见笔者 BLOG链接。(附图1和附图2,blog链接)。
这也是笔者的法治和和黑锅的人治两种解决方式,看官可以根据企业自身特点进行选择。笔者认为短期可以通过采取调集精兵强将的精兵政策来实现人治,但是长期运营还是需要依靠法治来实现。
漏洞奖励方法,如何保证奖励不伤害到漏洞提交者积极性,奖励要有足够的价值,同样也应该有足够的覆盖面来鼓励后进者。目前只要有两种机制,排名制和积分制,各有利弊。
笔者很反对排名制进行奖励,因为排名制会导致让奖励基本围绕在排名靠前的几个老手身上,而很多新人或者技术新手无法享受平台的奖励,有些时候还会产生不好的竞争情况,对平台长久运营不利。笔者比较倾向积分制,因为积分可以让新人尽早收获到奖品,虽然奖品可能不贵重,但是对促进新人融入平台却有很大的帮助,漏洞提交上不会受时间影响。虽然可能兑换制开销会比积分制大一些,如果考虑经费不足或者其他原因需要控制经费,可以通过提高,这样漏洞提交者也会理解。
结束语
企业漏洞收集平台是对企业安全体系的很好的补充,运营的好坏很大程度上会影响漏洞平台发挥的作用。因为漏洞提交者能将自己付出劳动找到的漏洞提交给企业漏洞收集平台,也是对企业本身的认可。所以不仅仅需要企业对平台有足够的技术和资金投入,还需要运营平台的企业安全人员给予漏洞提交者更好的耐心和更多的理解。