2020年湖北省信息网络安全协会网络安全宣传周重要活动之一“安全众测服务平台内测上线”于9月14日当天正式内测上线,通过添加“湖北省信息网络安全协会”公众微信第一时间掌握平台动态,目前已有100多名由人才库中推荐的渗透人才及多家协会会员单位作为支撑单位共同加入到平台的建设中,内测期间可直接联系协会秘书处对具体事宜进行进一步沟通。
随着互联网的高速发展,也一边催生着更多的新经济、新应用,一边也让更多系统漏洞频频爆发,企业网络安全性仍旧是新场景下的焦点问题。从2019年的企业安全威胁情况来看,高危漏洞集中隐藏于企业系统、开源项目之中,成为黑客攻城略地的网络军火武器。
漏洞这个掌握企业安全“命门”的网络炸弹可随时引爆,亟需各安全服务单位及网络安全人才们挺身而出,不断挖掘漏洞、排除安全隐患,维护网络空间的安全与稳定。
为了给更多网络安全人才及安全服务单位提供公平公正、良性发展的空间,为政府及企业提供综合性安全测试协作平台服务,湖北省信息网络安全协会计划将于2020年9月中旬上线湖北省信息网络安全协会安全众测服务平台(简称:“楚天众测平台”),正式面向湖北省及全网网络安全人才开放内测,并将纳入具有优秀安服能力的单位作为平台的技术支撑单位。
目前市面上存在各类大大小小的众测平台,有早些年的乌云众测、现如今的360众测、补天众测、漏洞盒子等,经过近几年的发展,在实际的业务过程中,普遍还存在以下几点问题:
保密性:服务对象首先要考虑的是漏洞的保密问题。市面上安全众测平台本身就是独立于厂商的第三方,虽然平台可以被问责,但白帽子是独立于平台之外的,白帽子人品是否可靠,这是服务对象最担心的;
专业性:参与众测的单位大部分是中小企业及部分政府单位,这部分用户本身对安全技术的理解能力有限,白帽子的报告及修复方案如果写得很随意,这对服务对象来说就不是很专业;平台的核心是白帽子,如何在市面上众多众测平台上留住有实力的白帽子也是一个问题;
合规性:各服务对象都有相关的经费使用流程,所以签订合同是必须的。同时,有了合同也可以避免后期在金额上的争议问题,也是服务对象漏洞不被滥用的合法保障;
流程和体验:目前市面上的众测平台是发现以及修复漏洞为主,流程都存在各种差异化,但如果在各平台能力一致的前提下,那么服务的流程以及体验就是评价的核心问题了。
针对以上几方面的问题,楚天众测也在不断地思考和改进,首先在保密性的问题上,所有参与众测的人员和机构首先将签订保密协议并提交政审材料最终到公安机关进行备案登记,然后再通过技术上手段上实现过程可控可信,测试过程通过VPN+流量监控的方式接入,全程对白帽子操作行为审计,实时记录参与测试白帽子的操作行为,提供完善的风险管控。设置专属测试通道、全程双因子验证提供更加严格的的信息保护。最终从多个角度去真正实现人员的可信。
在专业性的问题上,楚天众测将通过协会资源聚集湖北省内的安服力量及专家教授,严格制定服务标准、报告标准、修复建议、漏洞回检机制等相应标准,保障服务的专业性。
同时在合规性上,楚天众测也将全力保障服务对象的漏洞不会被再次利用,配合公安主管单位将所有的漏洞入库,并进行备案登记,责任到人。
最后在流程和体验的问题上,楚天众测将提供漏洞全生命周期管理服务,帮助服务对象有效地管理跟踪漏洞,实现漏洞全生命周期的可视、可控和可管,提升安全合规的管理工作。
在硝烟渐起的五维战场上,网络安全的“命门”被扼于漏洞之手,持续侵蚀着国家、企业之基。漏洞风暴不仅波及全球各行各业网络安全,甚至已经由网络空间向物理世界蔓延,国家及企业的安全危机迫在眉睫。 与此同时,一方面是难以充分发挥自身动能的网络安全人才,另一方面是面对漏洞频频曝光束手无策的各个企业,亟需打破两者之间的次元壁,从而带动网络安全性提升。 对此,楚天众测充分发挥自身品牌及技术优势,网聚顶尖网络安全人才和白帽子,在人才与企业之间,搭建一个“信任、原则、权威、共建”的沟通桥梁,助力网络安全人才充分释放价值,与企业共同建立稳定、安全新生态。
—END—第一时间给你最全资讯扫码关注我们吧!
2020年湖北省信息安全协会网络安全宣传周亮点内容抢“鲜”看
中美网络安全攻防演练对比:透视美国Cyber Storm VII
新型冠状病毒空前传播带来巨大威胁:在线教育平台面临的DDoS攻击飙升350%
“2020 LINKUP⁺网络安全峰会”在南京国际博览会议中心正式召开。