C114讯 5月8日消息 上周五,漏洞盒子企业SRC(安全应急响应中心)发布会在北京湖北大厦成功举行。
漏洞盒子是上海斗象信息科技有限公司(以下简称斗象科技)旗下安全产品之一,是目前国内首家链接安全专家资源与自有安全团队,通过再现真实环境进行漏洞挖掘,为企业用户提供高效、透明的互联网安全测试服务平台。
中国网络安全产业联盟陈兴跃秘书长、国家互联网应急中心运营部李佳副主任均表达了对漏洞盒子企业SRC运营模式的看好。李佳副主任指出,近年来,信息网络安全越来越重视,已经上升为国家战略层面。CNCERT监测发现:针对网站的攻击事件中,有超过70%是针对企业的。“在此我很高兴的看到漏洞盒子平台推出企业SRC这样的产品和服务,帮助企业建立信息安全威胁信息和情报的搜集渠道,主动地提前和提早感知企业信息安全威胁,做到预防、判断和预先解除,从安全地应急和协调处理地角度,做到了防微杜渐或者说减少了安全危险产生更大地损失。”
斗象科技联合创始人、CTO张天琪在发布会上指出,企业SRC的管理强调“三分建设,七分运营”,而企业运营自身又面临这样的问题:“对于大企业来讲,资源虽然不是问题,但SRC毕竟不是核心业务,投入有限。中小企业本身资源有限,重业务而轻安全是普遍现象,在安全当中的投入非常之有限,且人员配备不足。”
漏洞盒子企业SRC应运而生。漏洞盒子产品经理来勇介绍,针对企业SRC运营成本较高、软件设施不全、宣传效果不好、人员流动性大、平台稳定性不强、团队技术性不强、漏洞响应不够及时等问题,漏洞盒子企业SRC提出了自己的解决方案。漏洞盒子拥有专业SRC安全运营团队和成熟的国际漏洞审核体系,以多年众测服务的经验为基础,积极运营企业SRC。
具体流程一般是,白帽子在平台提交漏洞后,由平台或企业自行来审核漏洞,核实后再发放奖励。此前,漏洞审核流程周期一般在1~3个月,漏洞修复后再发放奖金。而白帽子通常会在确认漏洞后,急于知道奖金额度及发放时间,会不停催促询问漏洞盒子官方,官方又会来催问企业,中间耗时耗力。因此,漏洞盒子企业SRC平台将奖励发放调整到漏洞确认环节,整个流程缩短至1~7天,同时要求厂商在平台公布自己的奖金设置等级及额度。另外,平台还会根据漏洞有效性、级别、报告质量、涉及资产范围等维度进行计算,进行积分和奖金的排名,以此激励白帽子。同时帮助入驻的企业SRC进行持续性宣传、白帽子KOL管理、线上线下活动策划,日常纳新、留存和促活等活动支持。
所以,漏洞盒子企业SRC作为连接白帽子和企业的桥梁,能够起到协助企业构建定制化SRC的作用,为企业提供一站式全托管模式与半托管安全托管服务,帮助企业实现更便捷高效的SRC运营。
企业SRC代表——完美世界信息安全部信息安全总监何艺在发言中则表示,作为企业SRC负责人,运营好一个SRC是个耗精力、耗资源、耗技术的苦力活,但漏洞盒子因为拥有白帽子生态资源,所以运营能力具有天然优势。
发布会现场,中国网络安全产业联盟秘书长陈兴跃、国家互联网应急中心(CNCERT)运行部副主任李佳、国家信息技术安全研究中心安全处副处长曹岳、斗象科技CTO张天琪、联想集团信息安全高级经理宋文宽、完美世界信息安全部安全总监何艺,共同为漏洞盒子企业SRC产品的发布进行了揭幕,标志着漏洞盒子企业SRC正式对外向企业进行开放注册使用,助力和提升企业信息安全建设。
同时,联想集团安全应急响应中心作为支撑联想集团全球信息安全建设的重要部门,紧紧把握信息安全行业的发展趋势,也借本次发布会正式入驻漏洞盒子企业SRC,与漏洞盒子建立长期的战略合作,并且在发布会上进行了联想集团SRC入驻漏洞盒子企业SRC的授牌仪式,联想集团信息安全高级经理宋文宽先生代表联想集团出席并接受了授牌。