请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册
搜索

安全众测的四个大坑

[复制链接]
hoei 2020-3-27 15:36:07 显示全部楼层 |阅读模式 打印 上一主题 下一主题
点击蓝字关注我们


153818ggrcgzcviv1pg41p.jpg



安全众测大概说安全众包已经不是奇怪事物,自从2013年紧张的安全众测平台(比方HackerOne、Bugcrowd和Synack)推出以来,就作为一种斲丧性企业安全服务存在。这些平台渐渐挑衅传统的渗出测试方法,并开始蚕食其市场份额。以后7年间,涌现了更多的安全众测平台和竞争对手,争取这一不停增长的市场。


但是,众包安全真的是管理传统安全渗出测试弊病的灵丹灵药吗?是否会引发更多标题?在解答上述标题之前,让我们简单回首一下传统渗出测试现实存在的标题。



一连开辟与交付:胶片相机拍不了视频


传统的渗出测试服务的周期每每较长,雷同汽车的年检,显然与当今的企业敏捷应用开辟和网络安全威胁发展速率并不匹配。许多企业每周、天天或以一连交付方法举行应用摆设,不停更改其情况和应用步伐,因此会一连引入弊端、设置和违规标题(乃至淘宝克日出现的测试包弹窗巨大产物变乱也可归入此类)。


在这种数字化、敏捷化情况下实验的渗出测试,只能在特定时间点天生安全态势的快照(渗出测试的公认界说)。算上草拟陈诉,举行质量查抄并交付给客户所需的时间(通常是数周),正式测试陈诉天生的同时就已颠末期了,由于在此期间客户情况已经发生了多次厘革,不再代表最初测试的内容。



时间限定:萝卜快了不洗泥


那些代价令媛的大概威力惊人的弊端的发现,每每是一门艺术,是各人级作品,但是传统渗出测试服务会有贸易上的诸多限定,此中最明显的就是交付时间限定。渗出测试项目留给测试职员的时间每每非常告急。一个网站的渗出测试项目每每只有5天时间,此中一天还要用来撰写陈诉,这意味着渗出测试职员没有太多时间深入研究探索web应用的每个角落,经常须要根据项目周期做出弃取,忽略许多淹灭时间的标题。



技能错位:肛肠科的眼科大夫


安全人士的技能之间存在差别和错位,渗出测试职员也不例外。有些人比力善于测试移动应用步伐,有些比力善于测试API安全性和Web应用步伐,在人才紧缺的现实中,每每会出现本段标题形貌的情况。而且,由于网络安全技能是云云的多样化,纵然在细分的专业渗出测试职员中,技能方面的差别依然不小,您经常会遇到两个差别的渗出测试职员测试同一应用步伐并发现差别弊端的标题。思量到现在雇用纯熟安全技能职员非常困难,企业在降服技能错位方面没有太多筹码。管理此标题的一种战术管理方案是每年“轮换”渗出测试供应商,但是,由于渗出测试的人才库云云之小,纵然你更换渗出测试供应商,终极给你做测试的也很有大概是同一个人。



渗出测试综合征:比风险更大的是垃圾风险


所谓渗出测试综合症有些雷同“卖拐”,会让企业安全状态看起来比现实情况更糟糕。渗出陈诉的一种常见做法是讨论发现的标题,尤其是在找不到关键标题的情况下。一些鸡毛蒜皮的安全标题被夸大标注成“中度”乃至“严厉”标题,末了渗出测试陈诉变成了“垃圾风险”陈诉,误导大概浪费企业的安全资源,而不是提拔企业的安全本事。



贸易模式:一把昂贵的锤子


末了,传统渗出测试在业务模子上有一个巨大缺点:企业须要养一个全职渗出测试职员,而且你还必须付出给他们具有竞争力的薪水(如果你可以给出没有竞争力的薪水而这个人却没有离开,阐明你的钱白花了),别的企业还须要拨出专项预算,包罗渗出测试全部装备和应用的允许证(比方Burpsuite Pro允许证等),并为渗出测试职员提供须要的技能培训,慷慨资助他们去加入各种安全集会进步技能和高兴度,这对于企业来说无疑是一笔不小的开支和负担。



安全众测怎样管理这些标题?


安全众包/众测接纳一种机动的、开放性的渗出测试业务模子来管理上述标题。企业不须要供养专门的测试职员,取而代之的是一群“志愿”安全研究职员注册并实验发现企业资产中的弊端,按件计酬。如果他们什么也没找到,企业就不必付出任何报酬。


安全众测管理的第一个标题是渗出测试的“时间限定”。对于渗出测试职员来说不再只有5天的时间来研讨一个应用步伐,众包的渗出测试通常是无明白时间限定的,这意味着您可以花数周乃至数月的时间来探求难以捉摸的关键弊端,而且效果明显。


据一位乐成的众包渗出测试人士先容,颠末数周的弊端征采,他在一家市值数十亿美元的纳斯达克上市公司中发现了一个严厉弊端,可导致高出1亿个客户详细信息泄漏。由于弊端的复杂性,没有任何一个传统渗出测试专家偶尔间对其举行深入观察(他们已往依靠传统的渗出测试却并未发现此弊端证实了这一点)。


别的,渗出测试的这种开放式方法也可以管理前文提到的有关一连交付和时间点测试的第二个标题。众包安全可以或许为一连厘革的底子布局提供一连不停的渗出测试(条件是你的资产可以或许吸引充足多的安全职员“入池”)。


这里引出了第三个标题:技能和贸易模式。众包安全平台最大的贸易模式上风就是没有全职员工。加盟的渗出测试自由职业者自备干粮,平台无需付出薪水,乃至不须要付出装备质料费。为了补充技能短缺标题,他们只需为特定项目匹配更多自由渗出测试职员,安全标题的管理服从终极变成了注意力经济游戏,雷同淘宝的直通车,只要舍得砸钱,项目人气越高,发现和管理的标题也越多,越快。不信你看看特斯拉。


末了,安全众包通过效果驱动的鼓励机制管理了渗出测试综合征标题。如果您提交的标题并不是真正的弊端,而且没有提供概念证实,则将被忽略。更糟糕的是,你将由于浪费客户时间而被扣除积分乃至被平台开除,因此,在安全众包平台上,渗出测试职员提交的更多是可利用弊端,而不是充斥“垃圾风险”的陈诉。



安全众测的四个“大坑”


固然安全众测管理了传统渗出测试的诸多弊端,但是企业应当清醒地熟悉到,安全众包不是全能神油,乃至不是渗出测试的更换方案。


本日的安全众测仍旧存在许多标题,此中一些与贸易模式基因有关的天赋标题尤为棘手:


1
内部与外部测试


安全众测不恰当那些须要在公司内部举行的测试。在通例渗出测试中,一名安全顾问亲身来到企业客户的办公室,将条记本电脑接入企业即可开始测试。在众测的情况下,这是不大概的,由于众测须要设置复杂的VPN和/或署理肴杂设置,而且网络必须可以或许维持数十个(乃至数百个)并发的测试负载。这就是到现在为止,大多数安全众测业务都会合在Web安全范畴的缘故原由,由于web应用安全测试可以从任何地方发起,访问资本和复杂性都相对较低。


对于物联网和智能硬件装备,安全众测意味着厂商须要向每个测试职员都提供一个产物(比方智能跑步机),这大概会是一笔不小的开支,而且,如果测试职员遍布环球,测试资本还将继承飙升。


2
资源池有限


在现在环球性的安全人才荒中,打击性安全范畴也遭受着技能短缺的困扰。安全众测固然理论上可以利用环球的安全人才资源库,但现实运行中资源库也是有范围的。


如果你能抽闲观察一下现在市场上几个主流的安全众测平台,就会发现一个“惊喜”——赏金榜单险些让一小撮高手给霸占了。


固然安全众测平台的营销宣传资料会鼓吹坐拥环球数千名顶级安全专家,但骨感的现实是,现在平台上发现的大多数弊端都被一个不高出二十名研究职员小圈子给把持了。这就产生了资源标题,安全众测公司须要一连增长,因此须要更多的客户,发布更多的测试项目,而众包公司也须要不停增长的风险投资。平台越大,测试需求越多,就须要更多的渗出测试职员,但遗憾的是,渗出测试人力市场已经是个饱和存量市场,全部能上场的选手都已经在场上了。你无法逼迫更多自由职业者去加入你的测试项目,由于加入的人太多带宽已经不敷用了。


3
众包渗出测试的资本


只管安全众测公司将资本作为一个卖点,但从任何角度来衡量,众包渗出测试都谈不上自制。本日,外部网站的渗出测试服务费用是项目天数乘以顾问的逐日费用。


让我们以逐日顾问费1200美元,为期五天的传统网站渗出测试项目为例,你须要付出的总费用约6000美元。但是如果你选择安全众测,终极须要付出的平台费用大概会是该费用的许多倍。除此之外,您还必须为发现的每个弊端付出嘉奖,因此,发现的弊端越多,您付出去的钱就越多,这意味着您的资本很快就会失控。


这里有一个“资本可控”的特例须要注意:Synack(安全众测平台之一)只收取平台费,全部弊端嘉奖付出都由平台负担。但由于进入门槛很高,这种模式隔离掉了大多数中小企业。


现在,联邦制是中小型企业的唯一选择。联邦制的平台资本和弊端嘉奖付出更低,固然甲方企业会开心,但是更少的收入对研究职员(尤其是高水平研究职员)的吸引力也会随之降落。


4
共享黑客经济?


固然共享经济这个词被用烂了,但是安全众测本质上确实是共享经济,你可以称之为威客经济大概溯源其英文名称——Gig Economy。人们很容易遐想到一些大众耳熟能详的共享经济比方Uber和Airbnb之类,共同特点都是体系性地(乃至是更加暴虐地)聚敛那些放弃了传统福利和保障(比方退休金和病假)的自由职业者。


但是,有一个关键的区别:共享经济中的平台,比方共享出租司机,现实上是小时工,只要提供服务就可以得到与工作时长匹配的收入。但从事众包渗出测试的安全研究职员,他们就像非洲草原上的猎豹,无论多么幸苦,如果没有发现弊端也将“颗粒无收”。毕竟上,大多数渗出测试职员一天乃至数天都发现不了一个弊端,而且他们没有养老金。


不但云云,加入安全众测,你还须要自费购买全部工具,比方一部越狱的iPhone、一台专门安装Kali Linux的便携电脑、一个Burp Suite Pro软件允许证等等。对于众包的安全公司而言,这确实可以节省大量资本,由于它们“有效”管理了渗出测试服务公司所苦苦挣扎的贸易模式标题,但副作用是对专业劳动力的严格盘剥。



总结


末了,让我们说句公道话,只管传统渗出测试和安全众测各自存在许多标题,但这两种方法确实存在互补性。没有一种可以管理全部标题的打击性安全测试“快餐”管理方案,在本日这个安全态势和威胁非常严厉的大情况中,每位企业CISO都应当意识到,最佳实践和方法是自身探索出来的,不是(用钱)砸出来的。


相干阅读
访谈|想把众测服务产物化的众安天下

补天推出众测新方案 它有哪些不一样?

众测模式争议中须要深度思考的三个毕竟


153818icynlr34lc6c3l90.jpg
相助电话:18311333376
相助微信:aqniu001
投稿邮箱:editor@aqniu.com




153818e3ttzj6j6ujztjtu.jpg


本文来自极酷区配资门户--www.jikuqu.com收集于网络整理
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

广告