甲方观点 | 安全众测项目痛点复盘优化

为了全面了解外网资产的安全状况，我们在2022年启动了一项众测工作。自2022年7月份在三家平台发布以来，我们经历了护网、重保等重要活动，并于2023年3月份圆满结束。为了更好地准备下一次众测项目，特此进行详细的复盘。

（1）大概摸清外网整体安全状况；

（2）避免因外部漏洞对公司声誉造成影响从而导致监管处罚。

（3）查看安全安全检测的整体概况，漏检率如何（是骡是马，拿出来遛遛）

我们知道，漏洞是不断变化的，而业务也十分复杂。因此，即使有严格的系统上线流程和专业的渗透测试人员，也无法挖掘出所有漏洞，也无法通过一次上线检测发现所有问题。

通常情况下，一个系统在正式上线或重大变更前，会经历一系列软件提测。如果条件允许，可能会在SecOpsDev模式下发布版本。最后，在完成待渗透提测的系统后，进行手工渗透测试。按照完整的checklist清单，逐一检查可能出现的漏洞点，及时发现并修复漏洞，以确保上线系统能够稳健、安全地运行。

内部明明有了安全检测流程和每周红蓝对抗活动，为什么还需要众测呢？

从这两点的角度来看正常的渗透测试模式和红蓝对抗模式所求的目的不同，就会导致不同结果，渗透测试更像是大家去做全身体检的时候，尽可能的发现自身所有的问题，证明漏洞危害即可；而红蓝对抗更类似于大家熟知的木桶理论，只要我找到你的最薄弱点，突破系统的限制，拿到系统权限，维持权限，进而拿到更多的主机权限。

但是以上的手段也只是内部的，做的再好，也有点“闭门造车”的嫌疑，手段还是不够完备。真正的强大和自信，是愿意让更多的人提出自身的漏洞问题，也针对即使自己看起来很安全的业务系统，毕竟灯下黑的事迹在业界并不少见，”众“的力量也远远大于个体（不同的白帽师傅专研的方向不同，能提供更为全面的检测。），这就是市面上各大厂商需要采取这种较为流行的众测模式的原因。

依据国家发布的金融行业标准：《金融网络安全-网络安全众测实施指南》标准号，JR/T 0214-2021 来看，众测项目的实施具体会细分为几个主体：众测需求方（金融企业）、众测组织方（提供众测服务的企业）、众测测试方（白帽师傅）、众测审计方（项目实施过程中审计人员）；细分三个阶段：项目准备阶段、项目进行阶段、项目收尾阶段。大致的流程图如下：

项目准备阶段

项目进行阶段

项目收尾阶段

对于以上的流程图，可能读者有以下的疑惑，为啥需要审计方，其实审计方的作用是对安全众测过程进行管控、监控、审计和评价的组织。根据和同行朋友的一些沟通，这块往往做的还不够好，没有独立出来，往往这个角色被需求方和组织方给分割了。

在此次众测过程中，首先需要对外招标，根据招标的结果提前准备好众测收录的范围，以及漏洞定级结果等参考。在今年的众测服务过程中，我们总共遇到以下几个印象较深的坑点（没经验导致）：

以上三点，是我这边认为在此次项目中比较大的坑点。

砍柴不误磨刀工，本文章是对22年众测工作的复盘，希望下次众测工作能做的更好，期待需求方、组织方、测试方三方能为共赢这个目标，精力合作。

https://www.cfstc.org/standards_bzgk/details/?id=1909&columnName=%E5%B7%B2%E5%8F%91%E5%B8%83%E9%87%91%E8%9E%8D%E6%A0%87%E5%87%86&nature=2