再谈企业漏洞收集平台建设

安全
“企业漏洞平台将运营人员技术层次提高到足够高的水平” 这个是体现平台价值的一个重要点。

虽然cnhawk总是一名“终结者”,但是从TSRC平台建设开始,给各大企业平台的建设过程里,却提供了大量的“建设”性的建议,一个名副其实的“建设者”。每次lake2和我pk的时候,老是说:“你等着,我找hawk总秒杀你!” 奇怪的是,很多回合过去了,却很多走向了共同的点子上.....

在4月19日TSRC沙龙上,我们现场来个PK,不过当时环境所限,感觉pk不是很过瘾。于是hawk总来一个大招《浅谈企业漏洞收集平台建设》。整体上来说,现场pk的也是以前pk过的一个问题:法治与人治。其实这个题目很大! 其实我不完全是人治。

首先,“企业漏洞平台将运营人员技术层次提高到足够高的水平” 这个是体现平台价值的一个重要点。我和lake2说过:当这样平台的运营人员是幸福的,就像一个图书馆(图书馆的威力,你们都懂的!),你单纯把他当一重工作任务,那真是“天理不容”的!!

然后在大风的演讲《黑客来了怎么办》里提到一问题,那就是“度”!白帽子们在找漏洞测试时候的一个“度”,大风主张只到POC的层面就好了。但是问题来了,怎么评价这个漏洞的最终危害!这个也就涉及到评分的问题。 如果有白帽子来完成,那很明显越界了,完全可以去“南山法院”,只要腾讯愿意。 所以这个事情就得交给甲方来做,但是这里又有一个问题了 ,也就是甲方人员得水平问题! 我记得在现场我也说了,以前在tsrc的人员也说过:“你自己的技术水平都不行,怎么去评估别人报告的漏洞!” 其实这个是比较尖锐的提法。所以开始tsrc的很多朋友对我是有看法,但基本都是爷们,我想也没关系。 但是面对一些甲方妹子交流的时候,我就不好去说这个话了,有点伤人!(这里绝对不是性别歧视啊~~)

跑题了...

那么我们怎么来解决这个问题,当时我提了2个建议:

1、加强对甲方安全人员的内功(人才培养)

2、加强和漏洞报告者的沟通。(你有能力证明,但是没有资格去实施。我有资格去实施,但是没有这个能力!所以交流交流就好了!?)

不过TSRC的人有没有采用我的,我就不是很清楚了...

然后我们回到评分标准的问题上,hawk总的量法思路,其实很多人(我记得大风就提过)和机构都有去做过。但是我认为漏洞的场景太多,也就是评估的因素很多。而不是单单远程、本地等问题。而且我认为web服务上说远程本地基本没多大意义。当然这个只是个举例说明,好像以前也有老外提供过一些共公式。这里我想说的是我在《我的安全世界观》里提到的“概念(公式)是死的”到***评估还是落实到人身上。

那我的办法是啥呢? 我在《给TSRC等甲方平台建设的一些建议》里提到:“应该把以上的一些因素的权重来实现一个修正的评分模式” 也就是在“法治”的每个规则上来个修正的范围:

如:[ 严重 ] (兑换金币系数 30 )分值范围 9-10, 修正+-5

也就是先给等级,然后结合漏洞的一些场景、条件来修正。

另外我对其他甲方建立这样的平台的时候,一定要注意结合甲方自己的因素,比如投入的成本等等去认真思考,榜样有时候是有“毒”的。不要“该学的没学到,不该学的都用上了 ”

hawk总发布“终结”篇《三谈企业漏洞收集平台建设》

责任编辑:蓝雨泪 来源: 百度空间
相关推荐

2013-04-26 15:13:49

企业漏洞漏洞收集

2013-04-28 11:00:08

2023-01-31 08:26:57

企业服务整合

2021-07-15 10:49:08

数据平台企业

2014-06-10 11:12:13

控管平台数据

2017-12-20 17:50:32

2023-05-06 14:15:10

2018-05-30 12:00:55

私有云云计算数据

2020-03-21 14:46:47

数据仓库架构数据平台

2012-06-07 09:05:46

2021-05-20 10:16:44

Web渗透漏洞

2010-07-05 11:45:27

RationalJazz需求管理

2013-09-11 10:19:12

企业信息化vSphere

2015-04-15 09:26:34

大数据平台用友

2011-06-20 13:27:25

软件平台企业ITSOA

2009-11-02 15:05:16

国家信息安全漏洞共享平台

2017-04-18 18:00:22

2020-07-22 14:40:07

Ai.Vul

2018-03-11 10:00:00

ERP

2010-05-27 11:35:43

点赞
收藏

51CTO技术栈公众号