301：乌云众测平台的发展之路

大家好，首先非常高兴能够站在UCON会议上跟大家分享本次议题。

我们本次我们分享的议题是『乌云众测平台的发展之路』

首先，我做个简单的自我介绍，我叫杨蔚，来自乌云网，现在负责乌云众测平台整体运营，以及安全服务体系建设管理工作，我每天的工作都是跟数百个白帽子沟通和跟大量的企业沟通安全业务需求。同时，也不断在学习各行各业企业的相关业务，从中了解企业对安全的需求和痛点，协助企业帮忙解决疑难杂症。同时，我也是一名90后，我也希望用自己的时间和精力去帮到更多的企业和白帽子，让更多人去关注这个群体。：）



我们本次演讲从四个方面进行介绍：

首先，我会介绍下乌云众测平台的历年的发展历程；

第二部分，我会跟大家介绍下我们的运营模式；

第三部分，我会重点说明下乌云众测的风险控制模式及具体相关机制。

第四部分，我们会针对乌云众测的运营模式以及风控模式后，我们得到成长与收获。

乌云安全众包概念——"乌云众测"是在2012年8月提出的，同时，在2个月的10月份我们对外发布了第一个版本，同期发布了第一个众测项目。

2013年3月，乌云众测平台发布了第二个版本，安全众包模式继续保持试运行状态，全年完成了12个项目的运行工作。

2014年3月开始，乌云众测平台正式开始进行业务扩展，探索新模式，新机制。

2014年11月，乌云众测平台累计运行达到100期众测项目；

2014年12月底，乌云众测平台发布了第三个版本。

2015年1月，乌云众测平台参与了由极客公园举办的中国互联网创新产品大赛，同时获得了互联网模式创新前八强的成绩，进一步论证了安全众测的可行性和最佳实践。

2015年7月，乌云众测平台官方宣传片上线。

2015年8月，乌云众测平台运行项目数突破200期。

2015年至今（2015年10月28日）乌云众测平台突破260期项目。


以下是乌云众测第一个版本。




以下是乌云众测第二个版本。



接下来这个是我们当前最新的版本，我们对首页的介绍内容做了美化处理，在视觉上做了部分调整。




我们来通过一分钟的视频来了解下，乌云众测的整个服务模式的介绍。

『视频内容欢迎参见：http://ce.wooyun.org 首页 』

我们通过一组运营数据来看下乌云众测发展的基本情况：

1、今年是乌云众测平台运营的第四年，在近四年的运营时间里，总计参与的白帽子总数达到6400人，其中高水平的白帽子达到1200人，超过800人的活跃白帽子数。

2、我们是全球首家提出安全众包模式的安全平台，国内安全众测的鼻祖，包括我们整个运营管理团队均来自国内大型的互联网公司以及知名的安全公司。

3、乌云众测平台有着丰富的项目运营经验，其中覆盖了多个行业和领域。

4、同时，我们还是国内唯一实施覆盖所有金融行业项目的众测平台，并且实施了多期金融众测项目，覆盖了传统银行、证券、保险、基金等行业，并且得到了相关金融机构高层的高度认可。


接下来，我们说明下我们为什么要做众测平台的原因。

早些年，国内企业对安全的态度基本处于冷漠状态，但是在几年前，我们乌云社区在运营的过程中，会有一些对安全态度比较好的企业会主动提出安全需求，希望我们团队为相关企业提供对应的安全服务，而早几年前，乌云运营团队非常少，我们自身没有能力去为企业去提供相应的安全服务工作。而在乌云社区中，我们有着大量的白帽子专家，而这些安全专家有着丰富的实战经验，并且在各个研究方向和领域都有着众多的优秀专家。我们就想了一种模式，由我们来对接企业的安全需求，并且组织对应的安全需求领域的白帽子专家们。想到一种竞测的方式来为企业提供服务，在这样的机制下，我们运行了几年，也得到很多企业的认可。其实我们做众测的初衷非常简单，并且是想着以真正商业化的方式去运营，同时，在项目运行的过程中，我们也是尽可能的把大部分奖金给到白帽子，希望白帽子能够用业余的时间去为有需求的企业去提供服务，也能得到很多企业的认可。

在项目的运营过程中，我们自身的运营团队也能够很快速的成长，无论是对技术领域、思路的拓展，还是对各行业企业业务的了解，以体现我们自身的价值。


我之前做过一些调查和了解，我发现在国内一些三四五线城市有很多安全能力极强的人员，这些人员都从事着不同的工作，有白天从事公务员职务的白帽子，晚上可以利用业务的时间给到企业解决一些疑难杂症，帮企业发现很多安全问题，有水平高超的白帽子一晚上能够挣到7-8万元，同是也得到相关企业的高度认可，这样的白帽子群体数量非常庞大，希望大家多多关注。


我记得在一年以前，反对我们这种安全众包模式，也以嘲讽的态度对待我们，我记得当时我是很失望的，但是通过一年多的运营时间，我们也一直在成长。恰好前段时间，有一个合作伙伴给我们一些鼓励，『时间是最好的催化剂。』

接下来，我们来聊聊乌云可信众测运营模式。

首先，我们来就传统安全服务模式跟众测模式进行一个对比，其中我们做了4个方面的改变。

1）改变测试方式；

2）改变项目协作模式；

3）改变单兵作战方式；

4）改变服务模式；

测试方式改变：

我们从测试方式进行了改变，我们众测项目实施过程中我们主要是人工分析为主，而就传统的服务方式是以安全产品（扫描器）为主要的检测方式，我们更多的是去帮企业去关心业务层面的安全问题，通过人工分析的方式能够帮企业发现更深层的安全问题，而传统的方式无法做到对业务进行一个比较全面的分析。

项目协作模式改变：

传统的安全服务模式，渗透测试以协作的方式来完成的，而在我们众测模式的运营中，我们是以竞争的方式来实施项目，何为竞测？ 我们每个项目实施团队至少会安排30个人，这30个人都是根据企业的安全需求，我们从安全社区筛选出来的身份可信、技术认证的安全专家，由这30个专家互相竞争的方式来为企业提供安全测试服务，互相之间独立运行，谁先发现问题，谁才能拿到相应的奖金，我们通过这样的模式极大的激发了白帽子的积极性，而传统的方式是拿着固定工资的方式来实施项目，并没有过多的积极性。

单兵作战模式改变：

传统的方式会根据项目的额度大小，相应的安全公司会分配对应的安全专家去完成项目，往往一些金额较小的项目难以得到高级技术人员的支持，甚至相关企业主要是以产品为导向进行服务，而我们的项目实施为30个白帽子专家来完成，充分的保障了安全专家资源。

服务模式改变：

我们的服务模式口碑非常好，我们没有做过推广工作也得到了很多企业的认可，相关企业并且也介绍了很多的企业资源给我们，已经形成了一种口碑营销，行业也逐渐认可我们这种模式和安全品牌。


接下来，我们分析一个真实的金融案例。

我在8月份的一个周末的晚上，接到一个金融企业（合作伙伴）的电话，对方反馈遇到了很头疼的问题，系统被人刷积分换RMB。

我花了20分钟跟企业沟通需求，5分钟确认预算，30分钟组建了30人的安全团队来完成这个任务，3个小时候开始实施项目，总计花费不到24小时就帮企业发现了很多类似的这样的疑难杂症。

我们在运营的过程中，主要做了三件事情，『突破、改变、创造』

我们突破了思想的束缚，通过一年多的业务快速扩张时间，改变了他人对我们的看法，也坚持服务企业/白帽子的态度去做了大量的事情。
接下来，我分享下我亲身经历的一件事情，上周，我也是在上海一个会议上分享了有关乌云众测的议题，我刚上台，我手机开始受到各种报警短信，原来我们是被DDOS了，网站直接挂了，无法访问，这样的攻击持续了几个小时。

因为，我们乌云众测团队做了很多事情是帮企业解决了很多安全问题，例如：我们为某些金融解决了很多严重的漏洞，而这些漏洞对于一些非法份子而言，我们触碰了一些里群体的利益，我们就受到了对于的攻击，当然这些攻击中，也不乏有友商的关注，因为我们的项目比较多，并且在晚上9点开始测试工作，经常会有一段时间会在21点整开始受到ddos，这样的事情持续了近2个月。

我们改变了很多人对我们的看法，也改变了很多企业对我们的态度，改变了安全服务模式。

经过我们的不懈努力，我们也创造了一个新的服务品牌——乌云众测。


前段时间，我们实施了一个部委的项目，这个企业已经找过传统的安全公司做了安全测试工作，光漏洞修复工作就持续了几个月，但是又找到我们团队，在项目开始不到1个小时，我们发现了很多问题，客户反馈： 这几个月的漏洞白修了。

首先，我们结合我们在平台运营的过程中给大家分享下，我们实施的思路：

1）社区运营规则；
建立平台运营规则，不符合项目要求的白帽子不予项目机会。

2）白帽实名制；
白帽子实名机制，确保人员信息真实可靠。

3）诚信数据库；
建立白帽子诚信数据库，了解白帽子基本状况，背景不了解的人员不予项目机会。

4）在线保密协议;
我们在平台建立了在线保密协议的机制，确保每个参与的人员默认遵守我们的保密条款。

5）线上项目小组；
每个项目建立项目讨论组，确保企业的相关成员参与项目实施工作。

6）实时沟通机制；
遇到重大漏洞实时保持沟通，保证企业第一时间了项目实施的最新情况。

7）高危漏洞不隔夜原则。

我们通过一系列的约束，让企业重视安全问题，采取高危漏洞不过夜的原则。


技术规则：

在技术规则上，我们采取了技术竞测的方式来完成项目实施工作，以确保漏洞能够第一时间反馈到企业相关人员。

建立白帽子专家库，优先实力强和诚信高的白帽子参与。

同时，我们研发了一套流量审计系统，针对一些要求极高的项目开放VPN机制，确保参与人员接入相关系统，了解每个人的操作是否合规。

如果企业的修复工作能够得到相应，我们的项目测试工作与修复工作同步运行。

并且我们开启了报备机制，针对高级别项目，每天会跟企业相关人员进行确认工作。

来自监管的认可：

我们得到了工信部cncert和公安部一所的高度认可，同时也会在众测模式上给予我们一定的指导工作。


运营得到了一组数据：



得到来自企业和行业的认可：

我们项目实施已经覆盖了多个行业，例如：

1）部委：

2）央企；

3）运营商；

4）传统金融；（银行、保险、证券、基金）

5）大型国企；

6）大型互联网企业；

7）互联网金融；

8）云服务厂商；

9）智能硬件厂商等；

我们会关注所有与安全相关的行业和领域。


我们得到了一直战斗力极强的安全团队




我们的项目成员都来自各个行业领域，例如：





来自企业的声音：

1、企业对安全人才引入甚至企业信息安全相关项目招标；

2、产品安全认证已经对白帽子水平等级衡量以乌云定级级别为准。

接下来，跟大家分享2个案例。














白帽子删除了钓鱼网站的数据，并且向相关金融机构提供的可能存在风险的用户数据，第一时间对这些用户的账号进行处理，确保了这些用户的资金安全。

同时，相关银行也给我们团队和白帽子寄来了感谢信。



接下来，我们分享一组短信木马反黑的故事。















受影响的用户，所有的通讯录信息被盗走，以蠕虫的方式传播，继续影响其他用户。


我们发现受害者达到数十万用户，这些用户的手机短信可能被恶意用户进行监控，如果出现跟银行短信及敏感特征的内容，短信会被木马拦截掉，导致资金受损。




最后，定位到了发送短信的手机号码和源头，但是发现该手机号码没有实名。


由于时间关系，我本次的分享就到这里结束。

希望大家多关注下乌云众测，关注白帽子这个群体。

谢谢。


如果大家有什么想跟我沟通的，可以直接回复公众号，或者加我微信：2036234（备注：301在路上）

原文始发于微信公众号（301在路上）：301：乌云众测平台的发展之路