随着各行业数字化、智能化转型的深入推进,云计算、大数据、人工智能在各行业领域的深入应用,但伴随着业务不断云化过程中,面对日益措施复杂的业务场景,安全威胁也逐步业务化,以传统的安全服务模式来解决新型安全威胁将变得越发吃力,同时也无法满足当前日益严峻的安全现状,因此急需一种可控的服务解决方案对现有能力进行补充。在这样的一个背景下,众安天下正式发布新一代SaaS安全服务平台——AllSec安全服务平台。
因疫情原因,今年远程办公及各类远程服务得以高速发展,传统的线下组织模式受到严重影响,传统的线下安全服务模式由于严重受限于人力资源及环境条件的局限性,无法满足线上业务的常态化安全工作,而互联网安全服务模式的核心优势由此凸显,能在满足短时间内快速响应及攻防渗透、安全检查任务等系列场景下众多企业的核心安全诉求。
伴随着网络安全众测行业标准的正式运行,可以看到众测这种互联网安全服务模式在各行业领域的价值认可。相比传统服务模式,互联网众测竞测机制打破了在时间、地域、服务方式等限制,同时也一定程度了降低了企业成本。
相信在未来,以互联网安全众包服务模式为代表的“远程安全问诊”模式随着网络安全众测标准的逐步推广应用,将会成为新一代的网络安全服务运营模式。众安天下也希望在网络安全众测国标及行业标准的指引要求下,完成运营建设工作,更合规的提供高质有效的安全服务。
目前,国内众测业务市场份额对比国外的互联网众测平台仍然存在较大差距,众安天下认为,安全众测模式在国内发展主要的核心壁垒为四个方面:
1、合规授权机制是否完备,参与项目实施及平台安全认证机制是否可靠。
2、服务过程中是否可控,服务过程中是否违规,是否按照平台规则执行。
3、安全众测管理机制是否有效,传统松散的合作模式存在部分管理盲区。
4、安全众测市场成熟度偏早期,持续付费能力及客单价偏低。
针对以上几个典型的痛点,众安天下团队经过几年的打磨,已经通过多方面机制实现合理管控以及安全专家、平台、行业企业之间三方的安全有效连接,最终通过以下五个方面来完成一个有效、可控的运营平台建设:
第一、合规授权 | 实现在线电子签约机制
作为最早将在线电子签约应用于互联网安全服务平台的团队,通过与国内领先的电子签约云平台“上上签”达成深度合作,引入区块链在司法领域的应用技术,实现电子合同多方存证和全证据链溯源,保护客户数据安全和隐私,让合同更安全更具公信力。
目前,AllSec安全服务平台同所有安全专家之间的合作已实现了在线电子签约,同时在参与实际的安全技术服务项目上会完成二次签约,签约技术评估范围的内容与客户提供的渗透测试授权书、技术服务协议内容保持一致,确保了授权的可靠、可信。
第二、流量审计 | 服务过程可信、可视化
AllSec安全服务平台通过接入身份认证,并统一分配IP地址,实现对项目参与者的测试过程进行全流程管控,并保存原始Web流量日志及审计报表,可实时展示渗透测试过程中的流量统计信息与测试可视化,满足等级保护合规审计需求。
同时,平台建立了完善的服务过程管控机制,协助企业对 IP进行报备,防止授权测试与真实攻击同时发生,最大化保障服务过程的可控。
第三、实名担保 | 邀请机制、邀请有礼
众安天下针对长期支持的老会员发放了足额的邀请码,用以邀请新的会员加入。邀请机制的核心价值是通过以老带新的邀请机制提高运营效率,也保证了项目稳定性输出,通过常态化运营机制完善各类技术领域专家人才库,更好的保障平台机制有效运行。
另外,邀请机制还有额外奖励规则,被邀请用户产生收益后,平台将会额外拿出按新用户收益计算的20%,作为平台永久激励发放给老会员。
第四、独立第三方 | 漏洞风险评价体系
作为独立第三方的安全服务平台,其漏洞评级标准规则力求客观、公正,依据多维度来评价漏洞风险。
该规则参考了国内外主流SRC平台、第三方漏洞平台、多家企业评级标准综合评级。在运作方面,平台将会从业务影响维度、技术影响、利用难度等多方面考量,在以攻击者视角评估发现问题的影响程度之外,还会参考对企业业务影响等方面来进行第三方平台视角综合评级。
此外,AllSec安全服务平台会同步针对报告内容建立评价体系,包含漏洞完整性、漏洞自评差额、漏洞复测及时性、已判断提交问题是否为精华漏洞。
第五、限时游戏 | 邀请码获取机制
AllSec安全服务平台从诞生至今已内测运营近四年时间,采取内部邀请机制运行,为迎接本次平台上线,增加更多技术趣味性,单独设置了小游戏环节,游戏为获取平台邀请码的“AllSec安全服务平台”官方的唯一途径,具体游戏规则需要自行“深入”探索,并且对游戏规则的奖惩机制有明确要求。
针对此次AllSec安全服务平台的正式上线,众安天下团队创始人杨蔚表示,希望通过本次新版平台发布,能够有效的为更多行业客户提供优质、高效、可控的服务。通过远程SaaS服务模式,实现可信连接,签约专家通过平台能快速帮助行业企业客户快速排查漏洞风险,最大化的将互联网安全漏洞风险降至最低。
在谈到平台的愿景时,杨蔚说道:“互联网服务模式的优势在于,可以不受地域、时间限制、不受安全专家资源限制,更灵活的制定项目要求规则,更好的服务于企业机构。我们坚信通过安全技术力量可以温暖整个行业,通过健康有效的运营机制,赋能于安全生态,帮助更多怀揣安全梦想的新人。“
关于众安天下:
众安天下成立于2016年4月,是国内领先的互联网安全服务提供商,2019年7月获得贵阳大数据安全产业基金战略投资,核心团队来自WooYun、德勤、新浪、360等国内知名企业,团队积极参与安全服务创新,同时也是安全众测国家标准主要起草单位之一,安全众测国家标准试点单位之一,公司旗下互联网安全服务平台签约安全专家超过2000位,涵盖渗透测试、Web安全、移动安全、逆向破解、威胁分析等技术领域,核心专家团队平均从业经验8年以上。
众安天下旗下的凤凰安全实验室团队作为核心能力输出,已经为近百家企业机构提供能力支撑,涵盖国家监管机构、央企、金融、运营商、能源、交通、医疗、物联网、政务云、互联网等行业领域,并多次参与国内攻防演练大赛及重大活动保障支撑,并取得佳绩。