429首都网络安全日到来之际,个人信息泄露也受到越来越多的关注。随着互联网的发展,越来越多的企事业单位的日常业务都在互联网上完成,但是漏洞带来的信息泄露事件也如影相随,更多的企事业单位开始寻求外脑来解决信息安全问题。
近日,记者了解到,多家部委和国有大型企业集中入驻补天平台,收集白帽子提交的网站漏洞,更快修补漏洞,避免企业和个人信息泄露。
数据:注册补天 今年增长两成
记者在补天平台公开的厂商列表,近日在补天注册的厂商包括人民日报、财政部、工信部信息中心、国家广电总局广播卫星直播管理中心这样的重要政府部门,也包括财讯传媒集团、首汽约车这样的传媒、科技企业。
补天平台是中国最大的漏洞播报平台,目前有20000多白帽子,这些分布在互联网各个角落的网络安全工程师密切关注互联网安全,挖掘网络漏洞。企业在补天注册,可以在补天平台上免费建立SRC(应急响应中心),免费检测漏洞,最快接收到漏洞通知,及时修补漏洞。
记者统计发现,目前,补天平台共有注册企事业单位3368家,今第一季度,共有318家企事业单位注册到补天平台,比去年同比增长22%。
在今年新注册的企业中,企业规模相比增大、企业类型也发展到政府部门、金融行业、旅游行业、医疗计生、互联网企业、智能硬件厂商、高校教育、电信运营商等多类型行业。记者统计发现,其中互联网科技行业入驻最多,占到总数的35%,其次金融理财行业,占总数的27%。
去年4月,深圳、上海、河北、河南、山西、安徽等省市卫生和社保系统出现大量高危漏洞,可能泄露的信息数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。得到补天平台报告后,主管部门非常重视,各地社保系统纷纷注册补天,类似漏洞已经大大减少。
“企业注册后,我们收到漏洞后可以第一时间联系到他们!”补天负责人林伟介绍,一些注册企业,入驻第二天就收到了白帽子发来的漏洞报告。而没有注册的企业,只能通过微博、新闻等方式通知,大大影响企业修补漏洞的效率。
原因:入驻补天 补天SRC模式有保障
越来越多的企事业单位重视网络安全,企业如果要建立自己的安全团队解决安全问题,需要大笔的资金自建SRC、购买安全设备和安全服务等一系列的支出。据不完全统计,小型企业成立安全团队,每年投入至少上百万,因此只有一些大企业才会有自己的安全团队。
并且,国内安全人员稀缺,安全人员技术水平参差不齐,无法做到全面深入的安全测试。
依靠“外脑”来帮忙解决安全问题,企事业单位又担心安全性、私密性、专业性不达标,个人信息和商业秘密被窃取。另外,在一些漏洞平台,漏洞即使修复也会在90天后曝光,仍然有黑客利用类似方法寻找新的漏洞,窃取信息。
在补天注册的企事业单位更多的选择了私有SRC模式,厂商在补天平台预充值作为奖金,自行制定奖励漏洞挖掘计划,悬赏号召补天平台上的白帽子对其网站及系统进行全方位安全检测,深度挖掘隐匿漏洞。
白帽子发现漏洞后,补天平台专家会提出建议价格,厂商确认漏洞后向白帽子发放奖金。
“私有 SRC 模式更能体现厂商对于网站安全的重视和对白帽子劳动成果的尊重。”林伟介绍,补天保护厂商利益,漏洞信息更私密, 网站防御能力大大增强。
补天众测出世 漏洞挖掘更安全
林伟介绍,2016年,补天平台将加大奖励力度,预计投入额将有望达到1000万元,比2015年增长一倍。补天的白帽子已经突破20000名,为规范白帽子挖掘漏洞,补天平台推出了白帽子法律培训班,要求白帽子必须在法律框架内寻找漏洞,保护企事业单位网络安全。
补天目前拥有公有SRC、私有SRC和刚刚推出的补天众测服务。补天众测将针对互联网厂商、金融行业厂商、软件外包厂商、智能硬件厂商等关注安全的厂商提供安全众测服务。补天众测可以针对网站、APP客户端、内网、硬件等特定系统进行漏洞监测,针对性更强,监测效果也更加深入。
在众测过程中,补天是将全程监测白帽子访问行为,防止出现白帽子恶意入侵、窃取企业机密、窃听等不合法行为。
