安全眾測的四個大坑
責編:gltian |2020-03-27 13:45:16
安全眾測或者說安全眾包已經不是新鮮事物,自從2013年主要的安全眾測平臺(例如HackerOne、Bugcrowd和Synack)推出以來,就作為一種消耗性企業安全服務存在。這些平臺逐漸挑戰傳統的滲透測試方法,并開始蠶食其市場份額。此后7年間,涌現了更多的安全眾測平臺和競爭對手,爭奪這一不斷增長的市場。
但是,眾包安全真的是解決傳統安全滲透測試弊病的靈丹妙藥嗎?是否會引發更多問題?在解答上述問題之前,讓我們簡單回顧一下傳統滲透測試實際存在的問題。
持續開發與交付:膠片相機拍不了視頻
傳統的滲透測試服務的周期往往較長,類似汽車的年檢,顯然與當今的企業敏捷應用開發和網絡安全威脅發展速度并不匹配。許多企業每周、每天或以連續交付方法進行應用部署,不斷更改其環境和應用程序,因此會持續引入漏洞、配置和違規問題(甚至淘寶近日出現的測試包彈窗重大產品事故也可歸入此類)。
在這種數字化、敏捷化環境下執行的滲透測試,只能在特定時間點生成安全態勢的快照(滲透測試的公認定義)。算上起草報告,進行質量檢查并交付給客戶所需的時間(通常是數周),正式測試報告生成的同時就已經過時了,因為在此期間客戶環境已經發生了多次變化,不再代表最初測試的內容。
時間限制:蘿卜快了不洗泥
那些價值連城的或者威力驚人的漏洞的發現,往往是一門藝術,是大師級作品,但是傳統滲透測試服務會有商業上的諸多限制,其中最顯著的就是交付時間限制。滲透測試項目留給測試人員的時間往往非常緊張。一個網站的滲透測試項目往往只有5天時間,其中一天還要用來撰寫報告,這意味著滲透測試人員沒有太多時間深入研究探索web應用的每個角落,經常需要根據項目周期做出取舍,忽略很多耗費時間的問題。
技能錯位:肛腸科的眼科大夫
安全人士的技能之間存在差異和錯位,滲透測試人員也不例外。有些人比較擅長測試移動應用程序,有些比較擅長測試API安全性和Web應用程序,在人才緊缺的現實中,往往會出現本段標題描述的情況。而且,由于網絡安全技術是如此的多樣化,即使在細分的專業滲透測試人員中,技能方面的差異依然不小,您經常會遇到兩個不同的滲透測試人員測試同一應用程序并發現不同漏洞的問題。考慮到如今招聘熟練安全技術人員異常困難,企業在克服技能錯位方面沒有太多籌碼。解決此問題的一種戰術解決方案是每年“輪換”滲透測試供應商,但是,由于滲透測試的人才庫如此之小,即使你更換滲透測試供應商,最終給你做測試的也很有可能是同一個人。
滲透測試綜合征:比風險更大的是垃圾風險
所謂滲透測試綜合癥有些類似“賣拐”,會讓企業安全狀況看起來比實際情況更糟糕。滲透報告的一種常見做法是討論發現的問題,尤其是在找不到關鍵問題的情況下。一些雞毛蒜皮的安全問題被夸大標注成“中度”甚至“嚴重”問題,最后滲透測試報告變成了“垃圾風險”報告,誤導或者浪費企業的安全資源,而不是提升企業的安全能力。
商業模式:一把昂貴的錘子
最后,傳統滲透測試在業務模型上有一個重大缺點:企業需要養一個全職滲透測試人員,而且你還必須支付給他們具有競爭力的薪水(如果你可以給出沒有競爭力的薪水而這個人卻沒有離開,說明你的錢白花了),此外企業還需要撥出專項預算,包括滲透測試所有設備和應用的許可證(例如Burpsuite Pro許可證等),并為滲透測試人員提供必要的技能培訓,慷慨資助他們去參加各種安全會議提高技能和興奮度,這對于企業來說無疑是一筆不小的開支和負擔。
安全眾測如何解決這些問題?
安全眾包/眾測采用一種靈活的、開放性的滲透測試業務模型來解決上述問題。企業不需要供養專門的測試人員,取而代之的是一群“自愿”安全研究人員注冊并嘗試發現企業資產中的漏洞,按件計酬。如果他們什么也沒找到,企業就不必支付任何報酬。
安全眾測解決的第一個問題是滲透測試的“時間限制”。對于滲透測試人員來說不再只有5天的時間來鉆研一個應用程序,眾包的滲透測試通常是無明確時間限制的,這意味著您可以花數周甚至數月的時間來尋找難以捉摸的關鍵漏洞,而且效果顯著。
據一位成功的眾包滲透測試人士介紹,經過數周的漏洞搜尋,他在一家市值數十億美元的納斯達克上市公司中發現了一個嚴重漏洞,可導致超過1億個客戶詳細信息泄露。由于漏洞的復雜性,沒有任何一個傳統滲透測試專家有時間對其進行深入調查(他們過去依靠傳統的滲透測試卻并未發現此漏洞證明了這一點)。
此外,滲透測試的這種開放式方法也可以解決前文提到的有關連續交付和時間點測試的第二個問題。眾包安全能夠為持續變化的基礎結構提供持續不斷的滲透測試(前提是你的資產能夠吸引足夠多的安全人員“入池”)。
這里引出了第三個問題:技能和商業模式。眾包安全平臺最大的商業模式優勢就是沒有全職員工。加盟的滲透測試自由職業者自備干糧,平臺無需支付薪水,甚至不需要支付設備材料費。為了彌補技能短缺問題,他們只需為特定項目匹配更多自由滲透測試人員,安全問題的解決效率最終變成了注意力經濟游戲,類似淘寶的直通車,只要舍得砸錢,項目人氣越高,發現和解決的問題也越多,越快。不信你看看特斯拉。
最后,安全眾包通過結果驅動的激勵機制解決了滲透測試綜合征問題。如果您提交的問題并不是真正的漏洞,并且沒有提供概念證明,則將被忽略。更糟糕的是,你將因為浪費客戶時間而被扣除積分甚至被平臺開除,因此,在安全眾包平臺上,滲透測試人員提交的更多是可利用漏洞,而不是充斥“垃圾風險”的報告。
安全眾測的四個“大坑”
雖然安全眾測解決了傳統滲透測試的諸多弊端,但是企業應當清醒地認識到,安全眾包不是萬能神油,甚至不是滲透測試的替代方案。
今天的安全眾測仍然存在許多問題,其中一些與商業模式基因有關的先天問題尤為棘手:
1、內部與外部測試
安全眾測不適合那些需要在公司內部進行的測試。在常規滲透測試中,一名安全顧問親自來到企業客戶的辦公室,將筆記本電腦接入企業即可開始測試。在眾測的情況下,這是不可能的,因為眾測需要設置復雜的VPN和/或代理混合設置,并且網絡必須能夠維持數十個(甚至數百個)并發的測試負載。這就是到目前為止,大多數安全眾測業務都集中在Web安全領域的原因,因為web應用安全測試可以從任何地方發起,訪問成本和復雜性都相對較低。
對于物聯網和智能硬件設備,安全眾測意味著廠商需要向每個測試人員都提供一個產品(例如智能跑步機),這可能會是一筆不小的開支,而且,如果測試人員遍布全球,測試成本還將繼續飆升。
2、資源池有限
在如今全球性的安全人才荒中,進攻性安全領域也遭受著技能短缺的困擾。安全眾測雖然理論上可以利用全球的安全人才資源庫,但實際運行中資源庫也是有局限的。
如果你能抽空調查一下目前市場上幾個主流的安全眾測平臺,就會發現一個“驚喜”——賞金榜單幾乎讓一小撮高手給霸占了。
雖然安全眾測平臺的營銷宣傳資料會鼓吹坐擁全球數千名頂級安全專家,但骨感的現實是,如今平臺上發現的大多數漏洞都被一個不超過二十名研究人員小圈子給壟斷了。這就產生了資源問題,安全眾測公司需要持續增長,因此需要更多的客戶,發布更多的測試項目,而眾包公司也需要不斷增長的風險投資。平臺越大,測試需求越多,就需要更多的滲透測試人員,但遺憾的是,滲透測試人力市場已經是個飽和存量市場,所有能上場的選手都已經在場上了。你無法強迫更多自由職業者去參加你的測試項目,因為參與的人太多帶寬已經不夠用了。
3、眾包滲透測試的成本
盡管安全眾測公司將成本作為一個賣點,但從任何角度來衡量,眾包滲透測試都談不上便宜。今天,外部網站的滲透測試服務費用是項目天數乘以顧問的每日費用。
讓我們以每日顧問費1200美元,為期五天的傳統網站滲透測試項目為例,你需要支付的總費用約6000美元。但是如果你選擇安全眾測,最終需要支付的平臺費用可能會是該費用的很多倍。除此之外,您還必須為發現的每個漏洞付出獎勵,因此,發現的漏洞越多,您付出去的錢就越多,這意味著您的成本很快就會失控。
這里有一個“成本可控”的特例需要注意:Synack(安全眾測平臺之一)只收取平臺費,所有漏洞獎勵支出都由平臺負擔。但由于進入門檻很高,這種模式隔離掉了大多數中小企業。
目前,聯邦制是中小型企業的唯一選擇。聯邦制的平臺成本和漏洞獎勵支出更低,雖然甲方企業會開心,但是更少的收入對研究人員(尤其是高水平研究人員)的吸引力也會隨之下降。
4、共享黑客經濟?
雖然共享經濟這個詞被用爛了,但是安全眾測本質上確實是共享經濟,你可以稱之為威客經濟或者溯源其英文名稱——Gig Economy。人們很容易聯想到一些大眾耳熟能詳的共享經濟例如Uber和Airbnb之類,共同特點都是系統性地(甚至是更加殘酷地)剝削那些放棄了傳統福利和保障(例如退休金和病假工資)的自由職業者。
但是,有一個關鍵的區別:共享經濟中的平臺,例如共享出租司機,實際上是小時工,只要提供服務就可以獲得與工作時長匹配的收入。但從事眾包滲透測試的安全研究人員,他們就像非洲草原上的獵豹,無論多么幸苦,如果沒有發現漏洞也將“顆粒無收”。事實上,大多數滲透測試人員一天甚至數天都發現不了一個漏洞,而且他們沒有養老金。
不僅如此,參與安全眾測,你還需要自費購買所有工具,例如一部越獄的iPhone、一臺專門安裝Kali Linux的便攜電腦、一個Burp Suite Pro軟件許可證等等。對于眾包的安全公司而言,這確實可以節省大量成本,因為它們“有效”解決了滲透測試服務公司所苦苦掙扎的商業模式問題,但副作用是對專業勞動力的嚴酷盤剝。
總結
最后,讓我們說句公道話,盡管傳統滲透測試和安全眾測各自存在很多問題,但這兩種方法確實存在互補性。沒有一種可以解決所有問題的進攻性安全測試“快餐”解決方案,在今天這個安全態勢和威脅異常嚴峻的大環境中,每位企業CISO都應當意識到,最佳實踐和方法是自身摸索出來的,不是(用錢)砸出來的。