浅聊企业漏洞收集平台建设
发布时间:2022-05-05 09:46:47 所属栏目:安全 来源:互联网
导读:企业漏洞收集平台时下是个热点,从第三方的乌云漏洞平台,到甲方的腾讯漏洞提交平台,网易漏洞平台,再到乙方的360的库带计划。计划和筹划中的企业也很多。笔者有过多家企业漏洞处理响应经验,同时也是各大漏洞提交平台的常客,想写一点关于这个话题的自己理
|
企业漏洞收集平台时下是个热点,从第三方的乌云漏洞平台,到甲方的腾讯漏洞提交平台,网易漏洞平台,再到乙方的360的库带计划。计划和筹划中的企业也很多。笔者有过多家企业漏洞处理响应经验,同时也是各大漏洞提交平台的常客,想写一点关于这个话题的自己理解和想法。 每个公司的企业文化和技术水平也是千差万别,面临的问题也会各不相同,笔者尽量列举通用性的问题。说的不好地方请各位看官轻拍。 漏洞核实修补检查这个是非常有技术含量的工作,外部提交漏洞不可能完全描述清楚,而运营人员不仅需要有足够的技术实力去确认和重现漏洞,还要有一定业务知识来判断漏洞对企业的影响。在运营上尽量保证漏洞从平台流转给业务部门时候,就已经完成确认,如果存在疑问也和漏洞提交者沟通完毕,消除疑问。并且有可靠的POC和合理的漏洞等级,业务收到漏洞时候已经可以直接完成修补。而不至于出现业务部门提出对漏洞质疑,再由运营人员重新和漏洞提交者再沟通,重新要求POC的问题。 漏洞定级也是重要运营中重要环节,因为漏洞平台对漏洞等级的评定也对应着相应的奖励,也是对漏洞提交者工作的认可和感谢。而这时候如何对漏洞定级就是一个非常棘手的事情,笔者多次因为这样的类似的事情和内部业务部门产生分歧。同样现在对漏洞提交平台上面提交的漏洞如何给出让漏洞提交者满意的定级,也是最容易产生分歧的地方。 笔者在这件环节上和黑锅意见是完全不同的,当然笔者并不是认为黑锅的观点是错误的。黑锅的观点很简单,他认为假设企业漏洞平台运营人员技术能力足够的话,就不会也不应该出现这些麻烦和疑问,拥有足够高的技术等级的企业安全人员可以直接给出漏洞符合的漏洞等级。根据这样的推论,解决这个环节的出现问题的方法也就变得简单了,只要将漏洞平台运营人员技术水平提高就可以了。所以黑锅认为解决大量的漏洞定级疑问的根本方法是企业漏洞平台将运营人员技术层次提高到足够高的水平。 笔者对黑锅的方法是认同的,同样也认为平台运营人员必须提高技术水平,但是就算国内***互联网企业都没有解决这个问题,其他企业想解决这个问题就更加难上加难了。安全人员培养一直是个难题,而且也需要时间,特别企业是不可能等待有足够安全人员再进行平台建设。 如何让初级安全人员用简单的方法对漏洞进行评级,还是需要另外一种思路,这也是笔者较为推崇的漏洞打分机制,漏洞等级打分机制是基于对漏洞存在条件拆分,然后进行数学计算获得分数,然后根据这个分数来匹配上具体漏洞举例。通过对漏洞大类的举例和漏洞条件的拆分,初级人员也能直观取得漏洞等级的划分。通过大量样本的分析,制定出一套合理的漏洞打分机制,来解决因为技术水平不足带来的漏洞评级不准确的问题。关于笔者的方法可以看附图,或者见笔者BLOG链接。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐