“漏洞銀行”羅清籃：“聯合診斷”開啟無風險眾測全新紀元

　　前言：我個人認為未來白帽這個群體的價值只會不斷的增大，因為他們的存在，所以可以說明眾測在未來確實是一種性價比極高的解決方案。--漏洞銀行羅清籃

　　今年足以稱得上是網絡安全行業發展舉足輕重的一年，先有世紀佳緣袁煒案的影響，再有消息不斷放出說國家正在出臺相應的政策。網絡安全行業此起彼伏的大事件將"白帽子"推上了風口浪尖，原本小眾的群體在極短的時間內占據了大眾的視線，成為了網絡安全行業最先品嘗到變革陣痛的一群人。

　　面對此種現實，羅清籃和漏洞銀行創造性地提出"聯合診斷"的理念，悍然在輿論的中心為白帽子開辟出一條通向未來的道路。

　　優秀的舶來品：眾測

　　安全眾測是基于眾包概念提出的安全測試模式，即讓白帽子參與企業的安全測試。最早起源于美國，目前已經十分成熟。HackerOne（美國的眾測平臺）在前幾個月剛剛與五角大樓舉辦了一場1400名白帽子參與的攻陷五角大樓活動HackthePentagon），只花了15萬美元左右的獎金，就幫助五角大樓發現了1189個薄弱環節和138個高危漏洞。低投入和高收益無疑是安全眾測最為引人注目的優勢。

　　五角大樓的官方發言人國防部長阿什頓·卡特曾表示，安全眾測比雇傭承包商來做好得多，也比出事后再發現好得多。如果按照通常做法，五角大樓雇傭承包商的花費將超過100萬美元。

　　據此羅清籃斷言：未來白帽這個群體的價值只會不斷的增大，因為他們的存在，所以可以說明眾測在未來確實是一種性價比極高的解決方案。

　　國內：水土不服的模式

　　然而，"眾測"這個在美國運行良好的檢測模式，在中國市場卻陷入了水土不服的狀況。究其原因，是現在安全行業對白帽是否有權進入未測試授權的系統存在爭議。同時中國企業擔心，個別白帽在進行測試時夾帶"私貨"--對發現的漏洞有所隱瞞，以期更大的收益。

　　羅清籃認為，企業之所以存在這樣的顧慮，最核心的問題在于企業對白帽行為缺乏辨識能力。企業沒有能力去辨別白帽在測試過程中到底做了什么，白帽的行為對他們來說是未知的。這種未知直接導致企業認定白帽群體是有害的。

　　曙光："聯合診斷"的提出

　　為打消企業的顧慮，在漏洞銀行推出的眾測模式里，羅清籃創造性地構建出"聯合診斷"的眾測模式。

　　羅清籃說：不同于傳統的企業--白帽雙邊對接的眾測模式，"聯合診斷"模式引入了安全專家這一方。

　　漏洞銀行在企業發起眾測的時候，不是單純讓白帽進行測試，白帽需要把自己的IP或設備指紋在漏洞銀行數據庫進行備案，企業可以把自己的日志提交給漏洞銀行專家方進行審計，這樣白帽所有的行為都被誠實記錄。把安全專家引入后，白帽的行為得到了有效的辨識，也就意味著企業、白帽、安全專家三位一體的共同督促。

　　這種概念的提出，是漏洞銀行團隊在開展企業服務的過程中，慢慢總結出來的經驗。類似這種技術其實還有很多，漏洞銀行希望在一些技術手段的努力下，能夠讓白帽這個群體重新站在陽光下，也讓更多的企業真正意識到眾測的價值。

　　盡管眾測模式在國內才剛剛起步，但羅清籃和漏洞銀行相信，隨著互聯網安全的崛起，白帽這個群體將逐漸被大眾認可和接受。漏洞銀行將永遠行走在為企業和白帽創造價值的道路上，為網絡安全行業的發展奮斗終生。

　　版權及免責聲明：凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀