通过「tangscan」,乌云的白帽子们要让懂安全的人来解决安全问题。
在很多方面,互联网所追求的「便捷」在很大程度上是「安全」的反义词。
过去一年,除了「脱库」、「撞库」和「XCode」等词汇不断地刷新着我们对安全的认知,企业和大众的安全意识也在一系列事件的冲击下日益增强。
最直接的影响,越来越多投资开始涌向互联网安全领域,此前名不见经传的「白帽子」们也开始凭借着各种技术解决方案得到了收入上的提升。
但是,这种认知速度的增长还是赶不上技术发展的脚步。根据 2015 中国互联网安全峰会发布的《CTO 企业信息安全调查报告》:
- 一半企业在过去三年发生过信息安全事故
- 大部分企业觉得自己目前还挺安全的
- 四成创业公司没有安全团队,一半金融企业没有任何安全方面投入
- 四成公司认为信息安全频发是因为企业间的恶性竞争
六个月前,来自「乌云」的白帽子们做了一款名为「tangscan」的安全检测产品;六个月后,带着半年来的成长和新上线的功能,他们希望证明企业安全检测这件事没有人比他们更适合去做。
安全相对论与信息不对称
安全行业的特殊性导致效果难以评估。
「tangscan」的市场负责人邬迪告诉「极客公园」,由于近两年安全技术的需求的变化,企业对安全产品的结果却越来越没有信心。
「安全不像其他的IT产品,效果是不可见的。比如购买网络设备可以看性能,购买云服务可以看资源。但安全呢,怎么评估是否有效?」
当企业对购买一项服务的结果没有明确的效果预估时,就造成了采购时的评估困难,影响了用户的决策信心。
同样,购买安全产品往往是一次性付费,但企业其实有的时候只想解决一个问题,但却要购买整个解决方案。
2014年全球大面积爆发心脏滴血漏洞,有些企业只是想排查一下自身是否存在这个问题。但如果一次性购买安全产品则投入太大,企业无法为一个漏洞买单。这就导致这个事件过去两年已久,乌云平台依然能屡屡爆出一些知名企业存在该漏洞。
「等到最后真正出现问题的时候,客户很可能就没有关注和重视到,所以一些真正高危的问题被忽视。如果安全行业走得更远,需要有更能体谅企业的解决方案。」
在手机领域,硬件、工业设计、通讯等方面的人才多半都在固定的领域;但在安全行业,最懂安全行业的白帽子也许不在安全行业。
邬迪告诉「极客公园」,由于近两年安全技术的需求的变化,许多传统安全公司提供的服务未必能满足市场的需求。
「传统的安全公司在内网方面是非常有经验的,但这两年由于互联网的发展,很多新的安全问题开始出现,但这些问题不是却不是这些传统安全公司所熟悉的。所以给客户做安全的人未必是最懂安全的人。」
白帽子眼中的安全逻辑
企业业务的随时变化使得安全问题的解决也变成了一个动态的过程,加上不断出现的新威胁和风险,这使得企业几乎很难及时发现和修复自己的安全问题。而传统的安全公司的产品往往是以软件和硬件的形式提供给企业使用,这样的解决方案不仅使用门槛和成本较高,而且还需要专业的安全人员现场指导才能使用和发现问题;同时,传统以产品为主的交付方式也缺乏与企业的交互,很难做到第一时间将随时出现的安全风险转化为安全发现策略提供给企业使用。
针对这一问题,「tangscan」的解决方案是「平台众测」。
一方面,「tangscan」允许社区内白帽子和其他组织监控到的安全问题转化为安全策略提供到平台为企业服务;另一方面,企业可以在线完成安全体检,并且会根据企业自身的需求为企业定制安全监控方案,最终以服务作为交付,如果能够为企业发现安全问题提供安全策略的白帽子将获得平台分成,借助白帽社区的力量将使得平台能够获得最强的安全问题发现能力,而白帽社区也会因此能够帮助更多的企业。
「我们把安全行业的从业者视为医生。其实企业来找我们的时候是把我们当作医生和顾问来看的,他去看病的时候也许并不知道自己得了什么病,但需要医生给一个比较专业的意见。医生最核心的价值是确,而在安全领域则是确认无误。」
如果说每次聚集顶尖白帽子的安全众测是一次临时针对企业安全的专家会诊来说的话,那么「tangscan」更像一个自动化体检中心,白帽子作为医生可以提供丰富的诊断策略来自动化发现和监控企业的安全问题,专家会诊会受到专家资源的限制,但依托于「乌云社区」的「tangscan」却能以重新组织和分配资源的方式将解决方案规模化。
上线半年后,「tangscan」平台上总共提交了 1600 多个外部插件,新爆出的高危漏洞插件基本上能在一天之内同步。在众测取得阶段性成果后,「tangscan」在原有付费模式的基础上新增了「按结果计费」的模式。
「我们会按照高危、中危和低危把漏洞做个分级做出一个定价标准,当给企业测试并确认存在这样的问题后,我们才去向他们收取一定的费用,如果没有,我们就不会。」
在传统 SaaS 模式中,使用时长(年,月,天)、使用资源(带宽,性能,空间,数量)和使用次数是最常见的三种收费模式。而「tangscan」在 SaaS 服务领域首次提出的「按结果计费」模式则让企业在安全问题上赢得了更多的自主权。
尽管如此,邬迪还是表达了对企业安全市场教育的担忧:
「很多企业都说很重视安全问题,但更多的时候回选择先把问题放一放,等真正要解决的时候再去寻求解决方案,这本质上是对安全问题的不了解。」
虽然大部分企业都具备自我修复的能力,但最大的问题在于很多企业不知道问题在哪儿以及如何预防,「tangscan」按结果计费模式的推出很可能在观念上改变企业的安全意识,而这也是未来企业安全服务发展的首要前提。
