《中华人民共和国网络安全法》于 2017 年 6 月 1 日正式实施。
就目前粗略估计,每年 0day 漏洞和威胁情报交易对全球网络造成了不可估量的损害。部分互联网企业之间的情报分析,间谍行为等或多或少的会去购买和使用这些“途径不正常的”漏洞,给企业和社会带来了不可估量的损失。
2017 年 6 月 1 日起网络安全法实施后,将严厉执行网络安全规范,提升为国家战略层面。犹如当今“反腐”风暴一样重要。对于企业来说,解决网络安全问题,最重要的一个策略是预防为主,尽可能早地发现问题并解决问题。
目前比较成熟的模式有第三方公司提供的安全检测服务、各类众测平台、第三方的漏洞平台收集漏洞并反馈企业等。
更多有前瞻意识的互联网公司建立自己的安全应急响应中心(简称SRC),企业通过一定的激励措施,鼓励社会上的白帽子直接向他们提交漏洞,以第一时间获取并修补漏洞。
企业自己搭建 SRC,一般步骤是:
自建 SRC 对企业来说有如下问题:
1)白帽子群体资源是有限的。当前有数百个企业 SRC,很难保证有足够的白帽子来提供服务;
2)企业与白帽子个人结算。对企业来说,在资金审批、扣税等方面比较繁琐。
企业都想建立自己的安全团队,但问题是信息安全人员匮乏,价格昂贵,已影响到企业信息安全管理和技术提升。
看雪企业 SRC 为解决企业自建 SRC 上述问题而应运而生。有如下优点:
1)为企业最低成本最大能力的获得自身网站存在的问题;
2)不需要另行购买服务器开发代码部署,雇运营人员;
3)不需要推广平台,看雪企业 SRC 建立在安全人员技术交流社区之上,有大量的白帽子聚集于此为企业服务;
4)白帽子报酬支付问题由看雪平台来解决,企业只需要与看雪科技直接财务往来。
5)看雪企业 SRC 的特点就是共享信息安全技术人才,解决企业“一才难求”的尴尬。
6)作为负责企业安全建设的部门来说,可以极短的时间和低成本,创建自身的SRC,树立良好的企业形象。
“看雪”是中国第一家成规模的民间安全技术交流网站,诞生于 2000 年,始终以关注信息安全技术领域的最新发展为主,发展成为高端技术人员聚集之地,目前注册会员已超 70 万人。
看雪企业 SRC 内测网址:http://src.kanxue.com
目前接受两类企业入驻
入驻步骤
看雪学院
2017/5/1
看雪论坛:http://bbs.pediy.com/
微信公众号 ID:ikanxue
微博:看雪安全
投稿、合作:www.kanxue.com
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
内测中,欢迎提反馈意见。
项目-》京东-》漏洞奖励标准的链接错误。正确应为:http://security.jd.com/Public/file/JSRCV4.0.pdf
顺便发个牢骚:
京东的漏洞奖励标准,前面评判写了一大堆,而实打实的奖品就几句话,草草了事,而且还不是money,我也只能呵呵了。