俗语说,进攻是最好的防御。在企业安全中,没有比这句话更真实贴切的了。抢在黑客之前发现漏洞可以防止灾难性数据泄露,避免对公务业务和信誉产生重大打击。
大多数企业都是采用如下两种方式中的一种:其一,人工的,由人来测试潜在的弱点;其二,自动的,由漏洞扫描器滤出网络中潜在的漏洞。但单独使用这两种方法都不能保证完全有效。
“当今的漏洞解决方案有缺陷。有些是以人为中心,定点儿进行渗透测试,受测试员自身技术水平和测试计划时间线的限制较大。其他的则完全依赖于扫描器技术,让已经很紧张的IT部门再被重报、误报、不均衡的质量水平和成千上万需要人工审核的提交给淹没,”Synack首席技术官马克·库尔表示。
Synack,一家前国家安全局的分析人员成立的公司,创始人兼现任首席执行官是前国家安全局分析师杰·卡普兰,他和库尔采取了结合人机两种方法优势的新途径来解决这一问题:将漏洞评估众包给Synack红队(SRT)和Hydra技术。
SRT是由全球独立安全研究专家组成的团队,利用他们的技术和专业知识以及尖端科技发现潜在脆弱点。Hydra技术则持续扫描客户网络漏洞并将威胁情报报告给内部安全团队和SRT。
众包安全
卡普兰认为,该创意在于众包安全可以利用最佳思维、最佳技术和最佳实践呈现关于潜在漏洞的客观视图并快速有效地修复它们。
SRT成员都是网络安全业界精英,在加入SRT之前都要经过广泛细致的背景调查和筛选。筛选过程紧张而富挑战性,候选人通过率仅有大约10%。SRT成员以自由职业者的方式工作,很多人的正职是其他IT公司的安全人员。他们的薪水按件支付,发现一个漏洞并为客户修复便计入薪酬。
这就是众包安全情报。这一模型下,客户的资产能得到持续的安全覆盖,客户能得到自身安全态势的多元化客观认知。我们讨论的不是一两个人而是由上百人组成的团队持续不断地寻找威胁。Synack的私有“漏洞奖励”模型崇尚匿名性。出于保密义务,Synack不公开其客户名单,但卡普兰称,该公司每季度财富500强客户增长率超过300%。
“我们预期可能会有个‘客户培育’和‘清除进入壁垒’的过程,但却发现即使是来自监管最严格最保守行业的公司也在踊跃采纳Synack。”
Hydra技术
当然,即使有成百上千个专职的安全专业人士,要实时地对每一个可能的漏洞做出反应也是不够快的。网络、软件和应用都太复杂了,黑客自然也是很聪明的,尤其是在大企业环境下这两点特别突出。Synack将新技术Hydra结合SRT团队和客户内部安全,三者协同工作以加速大范围的威胁识别过程并做到迅速修复。
Hydra的持续监视功能被设计为与SRT测试过程的侦查阶段无缝衔接,令他们可以在不影响质量的情况下对大企业的所有资产进行更快更深入的测试。这一对人力和机器的优化组合是与企业每天面对的现实威胁进行战斗的独特方法,战略性地凸显出“研究人员利用先进的技术手段应对资深黑客威胁”的一种解决方案。
Hydra平台提供的三种功能——主机监视、Web应用分析和手机应用分析,均将分阶段推出。主机监视功能已于上月向Synack客户开放,Web和手机测试功能将于2016上半年推出。Hydra技术以SaaS方式提供,客户没必要安装任何实体或虚拟的设备,不用部署任何软件,也不用购买和维护任何硬件基础设施。
“我们的客户已经见识到了拥有这些研究人员为他们工作的价值,但我们开始对怎样有效将此服务推向复杂庞大的企业群体并保持SRT的富有成效发出了疑问。有了Hydra,我们就既可以利用人类经验和技术的深度和广度,又可以依赖机器执行重复性任务,让安全工作开展得快速有效。”
Synack关键词
1. 安全众包平台
同时提供“安全即服务”(SECaaS)产品,企业只需要支付一定月费,就能享受持续的安全情报服务,对接企业和全球范围的白帽,帮助企业解决安全问题。
2. 漏洞奖励
Synack还运营着一个高水准的企业漏洞奖金计划,与全球顶尖安全专家和白帽子签署合同,为发现漏洞的签约专家支付漏洞奖金。
3. 融资
Synack今年2月完成2500万美元融资。