安全众测的四个大坑

[原文来自：www.ii77.com]

平安众测或许说平安众包已经不是新颖事物，自从2013年首要的平安众测..（例如HackerOne、Bugcrowd和Synack）推出以来，就作为一种消费性企业平安办事存在。这些..逐渐挑战传统的渗透测试方式，并起头蚕食其市场份额。此后7年间，涌现了更多的平安众测..和竞争敌手，争夺这一络续增进的市场。

然则，众包平安真的是解决传统平安渗透测试弊病的灵丹妙药吗？是否会激发更多问题？在解答上述问题之前，让我们简洁回首一下传统渗透测试实际存在的问题。

传统的渗透测试办事的周期往往较长，雷同汽车的年检，显然与目前的企业迅速应用斥地和收集平安威胁成长速度并不成家。很多企业每周、天天或以一连交付方式进行应用布置，络续更改其情况和应用法式，是以会持续引入破绽、设置和违规问题（甚至淘宝近日显现的测试包弹窗重大产物事变也可归入此类）。

在这种数字化、迅速化情况下执行的渗透测试，只能在特准时间点生成平安态势的快照（渗透测试的公认界说）。算上草拟申报，进行质量搜检并交付给客户所需的时间（平日是数周），正式测试申报生成的同时就已经由时了，因为在此时代客户情况已经发生了多次转变，不再代表最初测试的内容。

那些价格连城的或许威力惊人的破绽的发现，往往是一门艺术，是巨匠级作品，然则传统渗透测试办事会有贸易上的诸多限制，个中最显著的就是交付时间限制。渗透测试项目留给测试人员的时间往往非常重要。一个网站的渗透测试项目往往只有5天时间，个中一天还要用来撰写申报，这意味着渗透测试人员没有太多时间深入研究索求web应用的每个角落，经常需要凭据项目周期做出弃取，忽略好多花消时间的问题。

平安人士的花样之间存在差别和错位，渗透测试人员也不破例。有些人对照擅长测试移动应用法式，有些对照擅长测试API平安性和Web应用法式，在人才紧缺的实际中，往往会显现本段题目描述的情形。并且，因为收集平安手艺是如斯的多样化，即使在细分的专业渗透测试人员中，花样方面的差别依然不小，您经常会碰到两个分歧的渗透测试人员测试统一应用法式并发现分歧破绽的问题。考虑到现在雇用熟练平安手艺人员非常难题，企业在战胜花样错位方面没有太多筹码。解决此问题的一种战术解决方案是每年“轮换”渗透测试供给商，然则，因为渗透测试的人才库如斯之小，即使你更调渗透测试供给商，最终给你做测试的也很有或者是统一小我。

所谓渗透测试综合症有些雷同“卖拐”，会让企业平安状况看起来比实际情形更糟糕。渗透申报的一种常见做法是商议发现的问题，尤其是在找不到要害问题的情形下。一些鸡毛蒜皮的平安问题被强调标注成“中度”甚至“严重”问题，最后渗透测试申报酿成了“垃圾风险”申报，误导或许虚耗企业的平安资源，而不是提拔企业的平安能力。

最后，传统渗透测试在买卖模型上有一个重大瑕玷：企业需要养一个全职渗透测试人员，并且你还必需支出给他们具有竞争力的薪水（若是你能够给出没有竞争力的薪水而这小我却没有脱离，解说你的钱白花了），此外企业还需要拨出专项预算，包罗渗透测试所有设备和应用的许可证（例如Burpsuite Pro许可证等），并为渗透测试人员供应需要的花样..，激昂帮助他们去列入各类平安会议提高花样和兴奋度，这对于企业来说无疑是一笔不小的开支和肩负。

平安众包/众测采用一种天真的、开放性的渗透测试买卖模型来解决上述问题。企业不需要供养专门的测试人员，取而代之的是一群“自愿”平安研究人员..并测验发现企业资产中的破绽，按件计酬。若是他们什么也没找到，企业就不必支出任何待遇。

平安众测解决的第一个问题是渗透测试的“时间限制”。对于渗透测试人员来说不再只有5天的时间来钻研一个应用法式，众包的渗透测试平日是无明确时间限制的，这意味着您能够花数周甚至数月的时间来寻找难以捉摸的要害破绽，并且结果显著。

据一位成功的众包渗透测试人士介绍，经由数周的破绽搜寻，他在一家市值数十亿美元的纳斯达克上市公司中发现了一个严重破绽，可导致跨越1亿个客户具体信息泄露。因为破绽的复杂性，没有任何一个传统渗透测试专家有时间对其进行深入查询（他们曩昔依靠传统的渗透测试却并未发现此破绽证实了这一点）。

此外，渗透测试的这种开放式方式也能够解决前文提到的有干系续交付和时间点测试的第二个问题。众包平安可以为持续转变的根蒂构造供应持续络续的渗透测试（前提是你的资产可以吸引充沛多的平安人员“入池”）。

这里引出了第三个问题：花样和贸易模式。众包平安..最大的贸易模式优势就是没有全人员工。加盟的渗透测试自由职业者自备干粮，..无需支出薪水，甚至不需要支出设备材料费。为了填补花样欠缺问题，他们只需为特定项目成家更多自由渗透测试人员，平安问题的解决效率最终酿成了注重力经济游戏，雷同淘宝的纵贯车，只要舍得砸钱，项目人气越高，发现息争决的问题也越多，越快。不信你看看特斯拉。

最后，平安众包经由究竟驱动的激励机制解决了渗透测试综合征问题。若是您提交的问题并不是真正的破绽，而且没有供应概念证实，则将被忽略。更糟糕的是，你将因为虚耗客户时间而被扣除积分甚至被..解雇，是以，在平安众包..上，渗透测试人员提交的更多是可行使破绽，而不是充溢“垃圾风险”的申报。

固然平安众测解决了传统渗透测试的诸多毛病，然则企业该当清醒地熟悉到，平安众包不是全能神油，甚至不是渗透测试的替代方案。

今天的平安众测仍然存在很多问题，个中一些与贸易模式基因有关的先天问题尤为棘手：

平安众测不适合那些需要在公司内部进行的测试。在常规渗透测试中，一名平安垂问亲自来到企业客户的办公室，将笔记本电脑接入企业即可起头测试。在众测的情形下，这是弗成能的，因为众测需要设置复杂的VPN和/或代理夹杂设置，而且收集必需可以维持数十个（甚至数百个）并发的测试负载。这就是到今朝为止，大多数平安众测买卖都集中在Web平安范畴的原因，因为web应用平安测试能够从任何处所提议，接见成本和复杂性都相对较低。

对于物联网和智能硬件设备，平安众测意味着厂商需要向每个测试人员都供应一个产物（例如智能跑步机），这或者会是一笔不小的开支，并且，若是测试人员遍布全球，测试成本还将持续飙升。

在现在全球性的平安人才荒中，攻击性平安范畴也蒙受着花样欠缺的困扰。平安众测固然理论上能够行使全球的平安人才资源库，但实际运行中资源库也是有局限的。

若是你能抽闲查询一下今朝市场上几个主流的平安众测..，就会发现一个“惊喜”——赏金榜单几乎让一小撮高手给并吞了。

固然平安众测..的..宣传资料会鼓吹坐拥全球数千名顶级平安专家，但骨感的实际是，现在..上发现的大多数破绽都被一个不跨越二十名研究人员小圈子给垄断了。这就发生了资源问题，平安众测公司需要持续增进，是以需要更多的客户，发布更多的测试项目，而众包公司也需要络续增进的风险投资。..越大，测试需求越多，就需要更多的渗透测试人员，但遗憾的是，渗透测试人力市场已经是个饱和存量市场，所有能上场的选手都已经在场上了。你无法强逼更多自由职业者去列入你的测试项目，因为介入的人太多带宽已经不敷用了。

尽管平安众测公司将成本作为一个卖点，但从任何角度来权衡，众包渗透测试都谈不上廉价。今天，外部网站的渗透测试办事费用是项目天数乘以垂问的每日费用。

让我们以每日垂问费1200美元，为期五天的传统网站渗透测试项目为例，你需要支出的总费用约6000美元。然则若是你选择平安众测，最终需要支出的..费用或者会是该费用的好多倍。除此之外，您还必需为发现的每个破绽支付奖励，是以，发现的破绽越多，您支付去的钱就越多，这意味着您的成本很快就会失控。

这里有一个“成本可控”的特例需要注重：Synack（平安众测..之一）只收取..费，所有破绽奖励支出都由..肩负。但因为进入门槛很高，这种模式隔离掉了大多数中小企业。

今朝，联邦制是中小型企业的独一选择。联邦制的..成本和破绽奖励支出更低，固然甲方企业会高兴，然则更少的收入对研究人员（尤其是高水平研究人员）的吸引力也会随之下降。

固然共享经济这个词被用烂了，然则平安众测素质上的确是共享经济，你能够称之为威客经济或许溯源其英文名称——Gig Economy。人们很轻易联想到一些公共耳熟能详的共享经济例如Uber和Airbnb之类，配合特点都是系统性地（甚至是加倍残暴地）盘剥那些抛却了传统..和保障（例如退休金和病假工资）的自由职业者。

然则，有一个要害的区别：共享经济中的..，例如共享出租司机，实际上是小时工，只要供应办事就能够获得与工作时长成家的收入。但从事众包渗透测试的平安研究人员，他们就像非洲草原上的猎豹，无论何等幸吃力，若是没有发现破绽也将“颗粒无收”。事实上，大多数渗透测试人员一天甚至数天都发现不了一个破绽，并且他们没有养老金。

不光如斯，介入平安众测，你还需要自费购置所有对象，例如一部逃狱的iPhone、一台专门安装Kali Linux的便携电脑、一个Burp Suite Pro软件许可证等等。对于众包的平安公司而言，这的确能够节约大量成本，因为它们“有效”解决了渗透测试办事公司所吃力吃力挣扎的贸易模式问题，但副感化是对专业劳动力的严酷盘剥。

最后，让我们说句合理话，尽管传统渗透测试和平安众测各自存在好多问题，但这两种方式的确存在互补性。没有一种能够解决所有问题的攻击性平安测试“快餐”解决方案，在今天这个平安态势和威胁非常严重的大情况中，每位企业CISO都该当意识到，最佳实践和方式是自身试探出来的，不是（用钱）砸出来的。