浅谈建设甲方安全响应中心

  • A+
所属分类:安全闲碎

首先要申明一点,本文不讲述运营观念,也不会评判src的运营如何。毕竟目前大都一样方法拉新和维稳。


要明确的是src其实是叫Security Response Center,正确的名字应该叫安全响应中心而并非安全应急响应中心,此处建议错误叫法的平台更正过来。


src的成立是为了保证外部有问题可反馈,前段时间某平台爆出100元优惠券而知道情报的安全人员无法给予平台反馈导致风险未能及时止损。而平台该如何正确运作需要我们值得思考的,可以学Google的VRP (Vulnerability Reward Program)平台,提交者提交漏洞后判断级别,如:P0、P1、P2…等,若漏洞有效将在每周二进行漏洞价格评估。这里先不讲解为什么参考这个做法,下文会有解答。


有不少公司可能会有技术复盘,而安全响应中心也可以对每周所有漏洞进行复盘,复盘的同时要考虑到为何白帽子能发现这么基础的漏洞,这些点不应该在开发环节、测试环节规避掉了吗?是自身内部水平不够高还是被偷偷开放出去没有经过审核,假若没有经过审核上线需考虑SDL流程哪里出的问题,追溯的事情还是抛开不说了吧。复盘时不能仅考虑这些,上面提及参考vrp做法就是需要平台审核之前讨论x漏洞给什么评级、多少bounty,应该内部有一个争议的环节比较好必须讲出为什么要给这个等级与奖励,否则单一A同学说给提交者X奖励万一是合作起来55分呢?确定好之后交由运营同学去操作。当然了 国内平台会经常有活动,出现这种情况最好是当天把漏洞复测完毕后公司下班点半小时前开始评估漏洞作出评分等处理。


漏洞的奖励标准该如何衡量,还要公司得到公司支撑,毕竟这是花不少钱才能运营好的平台。当时上线时竟然一个严重才给出1.6k,在内部曾多次争吵要提升至与BAT相同等水平后再上线,哪怕没有额外奖励,现在竞争较为激烈,如何确保提交着长期给予平台带来漏洞要让运营同学认真思考。在没有任何预算下都是耍流氓。

浅谈建设甲方安全响应中心


平台接收的漏洞有效率可能没有准确率这么高,但每个月积累下来的忽略漏洞可以查阅一遍以便有错审和从中吸纳思路。真正想要建设好安全响应中心并不是我所说的这些就够的,需要长期运营平台才能看到和总结出问题。我也经历过审核、负责中心等环节但由于拉新不足且业务非常单一收录的漏洞少之又少,但我能在收到漏洞告警后(上班时间内分钟级别复现),因为怕真的漏洞影响到业务导致受损。而确认速度也比较快,不需经过业务方确认风险,大家都是挖漏洞的何必互相残杀呢?明明漏洞的价值在这里你身为安全人员看不出来嘛?明明高风险的问题在别的平台非要说低风险。即使在非上班时间若我还未休息也会较快时间进行对漏洞测试,这就是响应与应急的态度之处。


我正在构建一个小密圈,里面会让大家分享、讨论甲方安全建设的方法,不免费,还想做到比较高价值、有营养的圈子!


本文始发于微信公众号(逢人斗智斗勇):浅谈建设甲方安全响应中心

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: