压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

安全眾測或者說安全眾包已經(jīng)不是新鮮事物，自從2013年主要的安全眾測平臺（例如HackerOne、Bugcrowd和Synack）推出以來，就作為一種消耗性企業(yè)安全服務存在。這些平臺逐漸挑戰(zhàn)傳統(tǒng)的滲透測試方法，并開始蠶食其市場份額。此后7年間，涌現(xiàn)了更多的安全眾測平臺和競爭對手，爭奪這一不斷增長的市場。

但是，眾包安全真的是解決傳統(tǒng)安全滲透測試弊病的靈丹妙藥嗎？是否會引發(fā)更多問題？在解答上述問題之前，讓我們簡單回顧一下傳統(tǒng)滲透測試實際存在的問題。

持續(xù)開發(fā)與交付：膠片相機拍不了視頻

傳統(tǒng)的滲透測試服務的周期往往較長，類似汽車的年檢，顯然與當今的企業(yè)敏捷應用開發(fā)和網(wǎng)絡安全威脅發(fā)展速度并不匹配。許多企業(yè)每周、每天或以連續(xù)交付方法進行應用部署，不斷更改其環(huán)境和應用程序，因此會持續(xù)引入漏洞、配置和違規(guī)問題（甚至淘寶近日出現(xiàn)的測試包彈窗重大產(chǎn)品事故也可歸入此類）。

在這種數(shù)字化、敏捷化環(huán)境下執(zhí)行的滲透測試，只能在特定時間點生成安全態(tài)勢的快照（滲透測試的公認定義）。算上起草報告，進行質量檢查并交付給客戶所需的時間（通常是數(shù)周），正式測試報告生成的同時就已經(jīng)過時了，因為在此期間客戶環(huán)境已經(jīng)發(fā)生了多次變化，不再代表最初測試的內容。

時間限制：蘿卜快了不洗泥

那些價值連城的或者威力驚人的漏洞的發(fā)現(xiàn)，往往是一門藝術，是大師級作品，但是傳統(tǒng)滲透測試服務會有商業(yè)上的諸多限制，其中最顯著的就是交付時間限制。滲透測試項目留給測試人員的時間往往非常緊張。一個網(wǎng)站的滲透測試項目往往只有5天時間，其中一天還要用來撰寫報告，這意味著滲透測試人員沒有太多時間深入研究探索web應用的每個角落，經(jīng)常需要根據(jù)項目周期做出取舍，忽略很多耗費時間的問題。

技能錯位：肛腸科的眼科大夫

安全人士的技能之間存在差異和錯位，滲透測試人員也不例外。有些人比較擅長測試移動應用程序，有些比較擅長測試API安全性和Web應用程序，在人才緊缺的現(xiàn)實中，往往會出現(xiàn)本段標題描述的情況。而且，由于網(wǎng)絡安全技術是如此的多樣化，即使在細分的專業(yè)滲透測試人員中，技能方面的差異依然不小，您經(jīng)常會遇到兩個不同的滲透測試人員測試同一應用程序并發(fā)現(xiàn)不同漏洞的問題。考慮到如今招聘熟練安全技術人員異常困難，企業(yè)在克服技能錯位方面沒有太多籌碼。解決此問題的一種戰(zhàn)術解決方案是每年“輪換”滲透測試供應商，但是，由于滲透測試的人才庫如此之小，即使你更換滲透測試供應商，最終給你做測試的也很有可能是同一個人。

滲透測試綜合征：比風險更大的是垃圾風險

所謂滲透測試綜合癥有些類似“賣拐”，會讓企業(yè)安全狀況看起來比實際情況更糟糕。滲透報告的一種常見做法是討論發(fā)現(xiàn)的問題，尤其是在找不到關鍵問題的情況下。一些雞毛蒜皮的安全問題被夸大標注成“中度”甚至“嚴重”問題，最后滲透測試報告變成了“垃圾風險”報告，誤導或者浪費企業(yè)的安全資源，而不是提升企業(yè)的安全能力。

商業(yè)模式：一把昂貴的錘子

最后，傳統(tǒng)滲透測試在業(yè)務模型上有一個重大缺點：企業(yè)需要養(yǎng)一個全職滲透測試人員，而且你還必須支付給他們具有競爭力的薪水（如果你可以給出沒有競爭力的薪水而這個人卻沒有離開，說明你的錢白花了），此外企業(yè)還需要撥出專項預算，包括滲透測試所有設備和應用的許可證（例如Burpsuite Pro許可證等），并為滲透測試人員提供必要的技能培訓，慷慨資助他們去參加各種安全會議提高技能和興奮度，這對于企業(yè)來說無疑是一筆不小的開支和負擔。

安全眾測如何解決這些問題？

安全眾包/眾測采用一種靈活的、開放性的滲透測試業(yè)務模型來解決上述問題。企業(yè)不需要供養(yǎng)專門的測試人員，取而代之的是一群“自愿”安全研究人員注冊并嘗試發(fā)現(xiàn)企業(yè)資產(chǎn)中的漏洞，按件計酬。如果他們什么也沒找到，企業(yè)就不必支付任何報酬。

安全眾測解決的第一個問題是滲透測試的“時間限制”。對于滲透測試人員來說不再只有5天的時間來鉆研一個應用程序，眾包的滲透測試通常是無明確時間限制的，這意味著您可以花數(shù)周甚至數(shù)月的時間來尋找難以捉摸的關鍵漏洞，而且效果顯著。

據(jù)一位成功的眾包滲透測試人士介紹，經(jīng)過數(shù)周的漏洞搜尋，他在一家市值數(shù)十億美元的納斯達克上市公司中發(fā)現(xiàn)了一個嚴重漏洞，可導致超過1億個客戶詳細信息泄露。由于漏洞的復雜性，沒有任何一個傳統(tǒng)滲透測試專家有時間對其進行深入調查（他們過去依靠傳統(tǒng)的滲透測試卻并未發(fā)現(xiàn)此漏洞證明了這一點）。

此外，滲透測試的這種開放式方法也可以解決前文提到的有關連續(xù)交付和時間點測試的第二個問題。眾包安全能夠為持續(xù)變化的基礎結構提供持續(xù)不斷的滲透測試（前提是你的資產(chǎn)能夠吸引足夠多的安全人員“入池”）。

這里引出了第三個問題：技能和商業(yè)模式。眾包安全平臺最大的商業(yè)模式優(yōu)勢就是沒有全職員工。加盟的滲透測試自由職業(yè)者自備干糧，平臺無需支付薪水，甚至不需要支付設備材料費。為了彌補技能短缺問題，他們只需為特定項目匹配更多自由滲透測試人員，安全問題的解決效率最終變成了注意力經(jīng)濟游戲，類似淘寶的直通車，只要舍得砸錢，項目人氣越高，發(fā)現(xiàn)和解決的問題也越多，越快。不信你看看特斯拉。

最后，安全眾包通過結果驅動的激勵機制解決了滲透測試綜合征問題。如果您提交的問題并不是真正的漏洞，并且沒有提供概念證明，則將被忽略。更糟糕的是，你將因為浪費客戶時間而被扣除積分甚至被平臺開除，因此，在安全眾包平臺上，滲透測試人員提交的更多是可利用漏洞，而不是充斥“垃圾風險”的報告。

安全眾測的四個“大坑”

雖然安全眾測解決了傳統(tǒng)滲透測試的諸多弊端，但是企業(yè)應當清醒地認識到，安全眾包不是萬能神油，甚至不是滲透測試的替代方案。

今天的安全眾測仍然存在許多問題，其中一些與商業(yè)模式基因有關的先天問題尤為棘手：

1、內部與外部測試

安全眾測不適合那些需要在公司內部進行的測試。在常規(guī)滲透測試中，一名安全顧問親自來到企業(yè)客戶的辦公室，將筆記本電腦接入企業(yè)即可開始測試。在眾測的情況下，這是不可能的，因為眾測需要設置復雜的VPN和/或代理混合設置，并且網(wǎng)絡必須能夠維持數(shù)十個（甚至數(shù)百個）并發(fā)的測試負載。這就是到目前為止，大多數(shù)安全眾測業(yè)務都集中在Web安全領域的原因，因為web應用安全測試可以從任何地方發(fā)起，訪問成本和復雜性都相對較低。

對于物聯(lián)網(wǎng)和智能硬件設備，安全眾測意味著廠商需要向每個測試人員都提供一個產(chǎn)品（例如智能跑步機），這可能會是一筆不小的開支，而且，如果測試人員遍布全球，測試成本還將繼續(xù)飆升。

2、資源池有限

在如今全球性的安全人才荒中，進攻性安全領域也遭受著技能短缺的困擾。安全眾測雖然理論上可以利用全球的安全人才資源庫，但實際運行中資源庫也是有局限的。

如果你能抽空調查一下目前市場上幾個主流的安全眾測平臺，就會發(fā)現(xiàn)一個“驚喜”——賞金榜單幾乎讓一小撮高手給霸占了。

雖然安全眾測平臺的營銷宣傳資料會鼓吹坐擁全球數(shù)千名頂級安全專家，但骨感的現(xiàn)實是，如今平臺上發(fā)現(xiàn)的大多數(shù)漏洞都被一個不超過二十名研究人員小圈子給壟斷了。這就產(chǎn)生了資源問題，安全眾測公司需要持續(xù)增長，因此需要更多的客戶，發(fā)布更多的測試項目，而眾包公司也需要不斷增長的風險投資。平臺越大，測試需求越多，就需要更多的滲透測試人員，但遺憾的是，滲透測試人力市場已經(jīng)是個飽和存量市場，所有能上場的選手都已經(jīng)在場上了。你無法強迫更多自由職業(yè)者去參加你的測試項目，因為參與的人太多帶寬已經(jīng)不夠用了。

3、眾包滲透測試的成本

盡管安全眾測公司將成本作為一個賣點，但從任何角度來衡量，眾包滲透測試都談不上便宜。今天，外部網(wǎng)站的滲透測試服務費用是項目天數(shù)乘以顧問的每日費用。

讓我們以每日顧問費1200美元，為期五天的傳統(tǒng)網(wǎng)站滲透測試項目為例，你需要支付的總費用約6000美元。但是如果你選擇安全眾測，最終需要支付的平臺費用可能會是該費用的很多倍。除此之外，您還必須為發(fā)現(xiàn)的每個漏洞付出獎勵，因此，發(fā)現(xiàn)的漏洞越多，您付出去的錢就越多，這意味著您的成本很快就會失控。

這里有一個“成本可控”的特例需要注意：Synack（安全眾測平臺之一）只收取平臺費，所有漏洞獎勵支出都由平臺負擔。但由于進入門檻很高，這種模式隔離掉了大多數(shù)中小企業(yè)。

目前，聯(lián)邦制是中小型企業(yè)的唯一選擇。聯(lián)邦制的平臺成本和漏洞獎勵支出更低，雖然甲方企業(yè)會開心，但是更少的收入對研究人員（尤其是高水平研究人員）的吸引力也會隨之下降。

4、共享黑客經(jīng)濟？

雖然共享經(jīng)濟這個詞被用爛了，但是安全眾測本質上確實是共享經(jīng)濟，你可以稱之為威客經(jīng)濟或者溯源其英文名稱——Gig Economy。人們很容易聯(lián)想到一些大眾耳熟能詳?shù)墓蚕斫?jīng)濟例如Uber和Airbnb之類，共同特點都是系統(tǒng)性地（甚至是更加殘酷地）剝削那些放棄了傳統(tǒng)福利和保障（例如退休金和病假工資）的自由職業(yè)者。

但是，有一個關鍵的區(qū)別：共享經(jīng)濟中的平臺，例如共享出租司機，實際上是小時工，只要提供服務就可以獲得與工作時長匹配的收入。但從事眾包滲透測試的安全研究人員，他們就像非洲草原上的獵豹，無論多么幸苦，如果沒有發(fā)現(xiàn)漏洞也將“顆粒無收”。事實上，大多數(shù)滲透測試人員一天甚至數(shù)天都發(fā)現(xiàn)不了一個漏洞，而且他們沒有養(yǎng)老金。

不僅如此，參與安全眾測，你還需要自費購買所有工具，例如一部越獄的iPhone、一臺專門安裝Kali Linux的便攜電腦、一個Burp Suite Pro軟件許可證等等。對于眾包的安全公司而言，這確實可以節(jié)省大量成本，因為它們“有效”解決了滲透測試服務公司所苦苦掙扎的商業(yè)模式問題，但副作用是對專業(yè)勞動力的嚴酷盤剝。

總結

最后，讓我們說句公道話，盡管傳統(tǒng)滲透測試和安全眾測各自存在很多問題，但這兩種方法確實存在互補性。沒有一種可以解決所有問題的進攻性安全測試“快餐”解決方案，在今天這個安全態(tài)勢和威脅異常嚴峻的大環(huán)境中，每位企業(yè)CISO都應當意識到，最佳實踐和方法是自身摸索出來的，不是（用錢）砸出來的。