2020年全球疫情蔓延,越來越多企業轉戰線上辦公,互聯網邊界進一步拓寬的同時,隨之而來的網絡威脅也在不斷增加。在網絡空間對抗日益軍事化的國際形勢下,網絡安全已上升至國家戰略層面。而漏洞是網絡安全威脅的源頭,一個重要漏洞的價值不亞于一枚導彈。隨著我國漏洞信息共享與通報處置工作的持續加強,漏洞應急工作已卓有成效,對于重大安全漏洞的應對能力得到了不斷強化。但事件型漏洞和高危0day漏洞數量仍在不斷上升,信息系統面臨的漏洞威脅形勢依然嚴峻。
在此背景下,360漏洞云安全眾測服務平臺(簡稱360眾測)應運而生,360漏洞云安全眾測服務平臺是圍繞360漏洞生態體系打造的集漏洞情報、專家響應、安全服務定制化于一體的綜合性安全服務平臺。平臺由世界頂尖的360 Vulcan(伏爾甘)團隊擔任技術引領,聚集高端安全研究人員,通過打造“人員可信,全程可視,風險可控,行為可阻,違規可溯”五可理念,以攻擊者思維,在可控、安全的場景下,由白帽模擬黑客對業務系統進行全面深入的安全測試,幫助企業挖掘出正常業務流程中隱藏的安全缺陷和漏洞,并提出專業的修復建議,使企業先于黑客發現安全風險,防患于未然。
重塑眾測新業態,提升企業安全感
安全眾測作為一種基于互聯網模式的滲透測試服務,通過互聯網平臺聚集安全人才,兼具任務發布靈活、結果反饋快速、測試效果顯著、更具性價比等優勢,受到諸多企業青睞。對企業來說,無需雇傭專職測試人員,取而代之的是一群“自愿”的安全研究人員注冊并嘗試發現企業資產中的漏洞,按效果計酬,用這種模式進行安全測試更能節約成本,提高效率。但由于安全眾測平臺聚合的專家在測試能力和滲透測試行為規范方面存在很大差異,對眾測平臺的審核及運營能力也提出了很大的挑戰。
相較于目前國內其它安全眾測平臺,360眾測綜合運用平臺約束、法律和技術管控為客戶系統的定向漏洞挖掘建立了完善的過程保障體系,保障眾測交付的整體質量。360眾測通過嚴格的靶場準入機制和全程透明的安全把控監管模式,開創了眾測服務新業態。其具備五大特征:
人員可信:平臺實行非開放注冊制,任何一名加入平臺的安全研究人員均需提交個人信息,通過技術靶場檢驗,嚴格的背景調查及合同簽署審核認證等機制,確保平臺人員的身份可信、技能優越。
全程可視:360眾測系列服務全程接入監控產品進行可視化支撐,通過對流量數據的監測分析及數據間的關聯關系判斷,識別當前動作所處攻擊環節,同時定位攻擊發起時間、攻擊利用位置、攻擊源等信息,形成完整攻擊鏈的可視,使安全服務過程 “實戰化 ”呈現。
風險可控:360眾測創新技術突破,是擁有全過程全流量監測分析能力的眾測服務平臺,可以對https進行全流量分析,全過程無死角,攻擊過程大屏可視化展示。根據客戶要求設置項目加入限制,并結合法律法規以確保正確開展工作。
行為可阻:360眾測利用賬戶權限管理,對安全研究人員的臨時項目測試賬號進行嚴格管控,配合行為審計系統,一但發現測試過程中存在惡意、違規行為,將立即凍結測試賬號權限,從而阻斷測試通道防止產生后續損失,并永久取消其項目參與資格。
違規可溯:測試過程中,360眾測通過技術手段對測試動作進行實時全流量捕獲,形成審計日志,可進行溯源、實時反溯查處,平臺所記錄日志將遵循安全記錄,永久保密的原則,且僅供客戶及監管單位進行審計使用。
信任,原則,權威,共建,攜手共建網絡安全新生態
360眾測的出現不僅創新了眾測服務模式,也為企業和白帽搭建了O4T技術理念交流環境,通過Trust信任,Tenet原則,Top權威,Together共建,與安全專家攜手共建網絡安全新生態,共創21世紀第五維戰略空間新紀元。
對企業來說,360眾測具有嚴格的技術審核機制,所有注冊人員都必須通過靶場技術考核才能注冊成為交付人員,360眾測篩選最優質的測試人員投入項目進行交付,保障企業獲得更好的安全服務。網聚全網精英白帽,為企業建立起專屬應急響應中心,千人千面,及時發現并處理漏洞威脅;對白帽來說,加入360眾測不僅意味著收入上的提升,他們還將在項目中精進技術,并在平臺上與其它白帽同臺競技,在實戰中提升技術,為安全行業人才的發展帶來了革新和活力。隨著企業和個人開展漏洞挖掘、眾測活動價值持續凸顯,360眾測也將對提高眾測行業服務基準起到積極作用。
責任編輯:gt
-
互聯網
+關注
關注
54文章
11148瀏覽量
103238 -
網絡
+關注
關注
14文章
7553瀏覽量
88732
發布評論請先 登錄
相關推薦
評論