七月流火,九月授衣
沉寂已久的安全圈因为最近一个事件波澜再起,坊间各种版本的“小道消息”更是满世界飞,安全同行奔走相告,有落井下石者,有击掌相庆者,有冷眼旁观者,也有疾呼声援者,正所谓天下熙熙皆为利来天下攘攘皆为利往,透过这个西洋镜我们看到的尽是世相百态和不古人心。
同行们相互打听谣言四起,而曾经在商业平台提交过漏洞的从业者更是人人自危夜不能寐,担心自家水表被查。再加上圈外一些媒体火上浇油的过度解读,唯恐天下不乱,目前来看该事件带来的后续影响对安全产业的发展来说并不是一件好事。
在四月底,笔者公开质疑国内漏洞披露方式的一篇小文《围炉夜话|白帽子和路人甲,从0到1》(可在笔者公众号阅读:sunw3i)引来业界的轩然大波,甚至被人冠以诛心之论,笔者倒是从没觉得一篇文章就能打消万千少年投入到安全攻防领域的积极性,相反如果能够给少年们带来些许警示和启发,这倒是一件大大的好事,因为歪脖子树永远都长不成参天大树,所以杀人也好,诛心也罢,笔者的初衷只是希望能够说服那些游走在法律边缘的冒险者,不要以身试法充当炮灰,仅此而已。
墨菲定律真的存在,短短的90天,笔者的担忧便不幸成为了现实,从世纪佳缘案件的发酵再到某网站的暂时关停,各大商业漏洞报告平台已然是门可罗雀,人走茶凉。
诗经有云:七月流火,九月授衣。安全行业看似人气旺盛基业长青,实则暗流汹涌不堪重负,台风过境气温骤降,满目疮痍,戴帽子的少年们请各自珍重,记得撑伞添衣。
春风依旧,人面何去
笔者一直强调安全测试的合法性,主张基于客户授权来进行测试,授权的方式有很多种,甲方的SRC(Security Response Center)就是其中之一。
SRC的逻辑是少年你发现隔壁家院子围墙上有个洞,请不要四处声张也不要进来偷看闺女更衣,更不能偷走东西,只要你及时告诉管家,管家就会带着你去问账房先生领赏了。
然而不是所有甲方都有资源来投入自己的SRC,没有SRC但是有测试需求的企业咋办?请别忘了还有安全众测,当然这里说的众测并不是外界媒体自以为是的把漏洞提交给披露平台,众测是正儿八经获得甲方授权后受法律约束有范围有审计的测试活动。
情怀不能脱离法律和道德,也不是天生骄傲飞扬跋扈肆无忌惮。能力越大的人,若不加以约束并规范其行为,带来的破坏也就会越大。无论是规避法律风险,还是获得可观酬劳,抑或是满足个人情怀,从这三个角度来考虑和权衡,相信所有人都不会反对SRC和众测这两种模式要远远优于非法测试和野蛮披露。
当商业漏洞报告平台曲终人散后,数以万计的帽子少年们何去何从,春风依旧,人面何去?是从此江湖别过后会无期,还是认清现实重新出发?相信大多数少年还是会选择江湖再见,只是彼时的江湖有秩序有规则有红线有禁区,少年们也不会再被所谓的帽子和Rank所迷惑,或SRC或众测,只做对的,不做贵的。
而假以时日,偏安一隅的安全众测就如同野火肆虐后幸存下来的一粒种子,生根发芽,抽枝散叶,茁壮成长,高大的树冠为企业遮风挡雨,庇护着一方平安。
守正出奇
信息安全是一个守正的产业,同样是一个很脆弱的产业,正是因为信息安全的特殊性,外界对这个行业的任何风吹草动都会带着放大镜来进行查看和分析,并选择性放大其中的一些细节。
任何无视法律和规则的行为都会导致失控,最终害人害己,众多的反面案例使得安全产业被外界当笑话看,而且被误解成一个遍地牛鬼蛇神的破坏性产业,这对安全从业者和安全公司来说是极其不公平的,尤其是那些在努力争融资和辛苦拓展市场的初创公司,外界舆论的过度解读和媒体的煽风点火无异于乌鸦叫声,投资人和客户避之唯恐不及,想给钱或签单更是没有可能。
如此形象一旦被建立起来,对整个行业的打击是不言而喻的。
安全行业的任何个体都代表着行业整体的形象,平时在院子里关起来门来打打嘴炮没有关系,但是于大是大非面前玩小心机尔虞我诈就有点过了,不是所有的对手都是绊脚石,一起抱团做大产业才是所有从业者的责任和义务,本是同根生,相煎何太急。
那些一心一意要做娱乐圈网红的童鞋,烦请高抬贵手放过安全行业。
对于那些曾经犯错的少年和机构,有则改之,无则加勉,十年后回头再看,诸位可能都会付诸一笑。
殊途同归
话说回来,为什么笔者看好安全众测,因为众测正是现行法律框架下守正出奇的一个产物,始于授权而终于按效果付费,众测是再正常不过的商业行为,它能做到让测试者和企业相看两不厌。
今年3月份,美国国防部联合国际上最具影响力的众测平台HackerOne发布了一项奖金为15万美元的“五角大楼众测计划”,该众测计划在实施结束后,1400多名测试者提交了200多个漏洞,而美国国防部发言人称这是美国政府历史上第一次参与安全众测,该众测项目性价比非常高,国防部很满意该项目取得的成绩,这就是在遵循法律框架下的众测平台所体现的巨大价值,五角大楼项目算是众测发展历史上的一个里程碑,这也预示着规范的众测平台在市场中会走得更远。
另外众测模式在国际安全市场的发展也是如火如荼,像HackerOne、BugCrowd、CrowdCurity这些众测平台都有了一定市场规模和用户基础,同时众测平台由于其商业模式的成功而广受投资者追捧。像HackerOne在A轮获得900万美元投资、B轮获得2500万美元投资,领投都是顶尖投资机构,这足以证明资本和市场对众测平台的认可。
而纵观国内,漏洞盒子等众测平台的迅速发展也印证了市场给予安全众测模式的足够信心。上周,全球知名投资风向杂志《红鲱鱼》(Red Herring)在马尼拉公布了2016年度“红鲱鱼亚洲100强”企业名单,漏洞盒子更是中国地区唯一入选的安全企业(产品)。
当然众测平台要保持良性运作也面临诸多挑战,如何来规范化漏洞测试和提交,如何保证测试者、平台和企业三者之间的透明化,众测平台如何对企业隐私进行有效保护等等,都是众测平台在发展过程中需要解决的问题。当然每个众测平台运作模式都有自己的独特性,不能一概而论,而且国际环境和国内也不一样,但归根结底,众测模式将广大的安全测试者与企业连接起来,为测试者提供法律保障和适当酬劳,在保证隐私的前提下为企业发现更多的安全漏洞,这是值得市场推崇的。
曾经有业内同行强调“漏洞披露是革新,革新意味着叛逆,甚至是违法。”但笔者个人并不这么认为,违法的“革新”还算是革新么?安全众测也是革新,但众测不但不违法,同时也避免了一将功成万骨枯的惨烈局面,并且会给企业带来巨大的价值。
那我们为什么不选择这种漏洞披露方式呢?而随着国家网络安全法的即将出台,网络运营部门也将承担起相应的法律责任,这是他们的压力也是市场的动力,而众测算是化解他们压力的商业行为,企业会不会欢迎,戴帽少年愿不愿意参与,想必大家都有答案了。
尾
每个人心中都有一个武侠梦,每个人心中同样都有一个世界和平的理想,若是为了世界和平的理想让侠客们告别江湖厮杀,想必大家都是愿意的。
江湖夜雨,桃李春风,各位珍重。