写《浅谈企业漏洞收集平台建设》时候就想要找黑锅审一下,因为担心我对黑锅观点的理解不够透彻,毕竟技术水平差距在那边,理解不到位也很正常。结果那天晚上写完一下就发了。今天黑锅看完以后表示我还是没有理解清楚有偏差,于是大笔一挥来一篇《再谈企业漏洞收集平台建设》。晚上到家才看见,迅速读完以后感觉松了一口气。应该说黑锅还是认可我的观点的。可是为什么还要写这篇三谈:
一方面对建设平台的理念需要补充阐述,另外一个方面是因为我在写《浅谈企业漏洞收集平台建设》,由于一些惯性思维的原因,导致一些关键的地方都没有交代清楚,引起一些不必要的误会,所以需要这篇文章来弥补。
首先要明确也是要强调的一点,尊重白帽子这个要素,这也是在建设企业漏洞收集平台前就必须明确的。企业漏洞收集平台是甲方和白帽子的交互平台,也就是说参与到这个平台的白帽子是认可企业和得到企业的认可的,应该受到尊重,尊重不仅仅是通过奖励来体现,还有在对白帽子提交的漏洞的重视,在白帽子的深入沟通上等等。可以说白帽子对平台的认可是最宝贵的财富没有之一。综合这些方面,腾讯的TSRC无疑是走在了其他平台的前面,很多建设和运营经验成果都值得其他平台借鉴和学习的。例如平台人员和白帽子一对一的漏洞跟踪,邀请白帽子参与漏洞争议裁决,还有最重要的是平台运营的态度是端正的,只要这个能保持下去平台就会有更好的发展,我每次找lake2的时候,他都很认真的听我的建议,而且落实去做,这个让我很感动。这些宝贵的经验也是其他平台所要学习的,任何一个漏洞平台如果离开了白帽子的支持,就算平台开发做的再好,有再多的资金支持也不可能运转下去,对企业安全产生帮助。
其次要说的还是平台建设上的人治和法治问题,这个话题在浅谈还是再谈里面都已经有很多说明了。这里就简单作出一些总结,首先运营人员的技术水平是必须提高的,当然这个技术水平不仅仅是安全技术,还有对安全的理解,企业漏洞的深入认识,当然还有最重要的沟通能力,但是需要企业会综合人员工作分配还有人员成长上问题考虑,不能保证人员的稳定。所以为了适应人员的变动,还是需要有足够的规范条例,通过规范条例来解决通用性的问题,当然没有条例规范是完美和绝对适用的,必须再用人工来辅以修正。这也是黑锅所说的“应该把以上的一些因素的权重来实现一个修正的评分模式”。我的观点是,虽然法治和人治是冲突的,但是在运营中尽量以法治为准,人治辅助,对于出现启动人工判定时候,需要检查条例和规范是否合理。整个运营趋势应该是无限趋近规范处理,人工干预降低到最低。
最后想说的是漏洞收集平台获得的漏洞对企业来说是一笔巨大的财富,黑锅语“当这样平台的运营人员是幸福的,就像一个图书馆(图书馆的威力,你们都懂的!)”,在沙龙开始前几天,我虽然知道不可能,但还是向lake2提出,想获得一个进这个图书馆看看的机会,最后被lake2拒绝了。当然开放这个图书馆还有很多的路需要去走,我们期待这一天能早日到来。在企业内部,应该能认真分析一个漏洞,从成因,到发现方法,到可能造成的损失,从每个漏洞里面都学到足够的价值,才是我们建设企业漏洞收集平台的最终目的。
结束前还是想用一些篇幅写一点关于甲方企业安全工作的问题,因为看之前一篇文章留言里有很多朋友提了一些看法,我也看见lake2在留言里有回复,我作为一个多个甲方企业工作过的安全人也想在这里简单说一些酸甜苦辣吧。从外部看甲方企业安全工作者的确存在很多问题,比如对漏洞研究较浅,各种奇怪的工作分配。这些问题说起来也很简单,就是由企业性质决定的,因为企业不是靠安全来赚钱,用这个最简单的理由就可以把安全人员踢到最边缘的位置上,有个不恰当的比喻:不失火时候谁也不愿意看到消防队而失火以后又埋怨为什么有消防队还失火。
这个情况虽然残酷,但确实很多甲方安全工作者真实情况。这些年因为持续不断的安全事件教育和信息安全被重视,才让安全工作成为必备的岗位,得到认可,是多么的不容易。而腾讯能率先开启企业收集平台则显得更加难能可贵,这也是为啥我在《腾讯安全沙龙参后感》里面写能成立这个平台,并且能做成这样是多么的不容易,我们向安全的先行者—TSRC致敬。应该说再有几年发展,甲方安全人员应该能摆脱技术落后的帽子,真正向乙方安全人员看齐。
