安全眾測(cè)或者說(shuō)安全眾包已經(jīng)不是新鮮事物，自從2013年主要的安全眾測(cè)平臺(tái)(例如HackerOne、Bugcrowd和Synack)推出以來(lái)，就作為一種消耗性企業(yè)安全服務(wù)存在。這些平臺(tái)逐漸挑戰(zhàn)傳統(tǒng)的滲透測(cè)試方法，并開(kāi)始蠶食其市場(chǎng)份額。此后7年間，涌現(xiàn)了更多的安全眾測(cè)平臺(tái)和競(jìng)爭(zhēng)對(duì)手，爭(zhēng)奪這一不斷增長(zhǎng)的市場(chǎng)。

但是，眾包安全真的是解決傳統(tǒng)安全滲透測(cè)試弊病的靈丹妙藥嗎?是否會(huì)引發(fā)更多問(wèn)題?在解答上述問(wèn)題之前，讓我們簡(jiǎn)單回顧一下傳統(tǒng)滲透測(cè)試實(shí)際存在的問(wèn)題。

[[320113]]

持續(xù)開(kāi)發(fā)與交付：膠片相機(jī)拍不了視頻

傳統(tǒng)的滲透測(cè)試服務(wù)的周期往往較長(zhǎng)，類似汽車的年檢，顯然與當(dāng)今的企業(yè)敏捷應(yīng)用開(kāi)發(fā)和網(wǎng)絡(luò)安全威脅發(fā)展速度并不匹配。許多企業(yè)每周、每天或以連續(xù)交付方法進(jìn)行應(yīng)用部署，不斷更改其環(huán)境和應(yīng)用程序，因此會(huì)持續(xù)引入漏洞、配置和違規(guī)問(wèn)題(甚至淘寶近日出現(xiàn)的測(cè)試包彈窗重大產(chǎn)品事故也可歸入此類)。

在這種數(shù)字化、敏捷化環(huán)境下執(zhí)行的滲透測(cè)試，只能在特定時(shí)間點(diǎn)生成安全態(tài)勢(shì)的快照(滲透測(cè)試的公認(rèn)定義)。算上起草報(bào)告，進(jìn)行質(zhì)量檢查并交付給客戶所需的時(shí)間(通常是數(shù)周)，正式測(cè)試報(bào)告生成的同時(shí)就已經(jīng)過(guò)時(shí)了，因?yàn)樵诖似陂g客戶環(huán)境已經(jīng)發(fā)生了多次變化，不再代表最初測(cè)試的內(nèi)容。

時(shí)間限制：蘿卜快了不洗泥

那些價(jià)值連城的或者威力驚人的漏洞的發(fā)現(xiàn)，往往是一門藝術(shù)，是大師級(jí)作品，但是傳統(tǒng)滲透測(cè)試服務(wù)會(huì)有商業(yè)上的諸多限制，其中最顯著的就是交付時(shí)間限制。滲透測(cè)試項(xiàng)目留給測(cè)試人員的時(shí)間往往非常緊張。一個(gè)網(wǎng)站的滲透測(cè)試項(xiàng)目往往只有5天時(shí)間，其中一天還要用來(lái)撰寫(xiě)報(bào)告，這意味著滲透測(cè)試人員沒(méi)有太多時(shí)間深入研究探索web應(yīng)用的每個(gè)角落，經(jīng)常需要根據(jù)項(xiàng)目周期做出取舍，忽略很多耗費(fèi)時(shí)間的問(wèn)題。

技能錯(cuò)位：肛腸科的眼科大夫

安全人士的技能之間存在差異和錯(cuò)位，滲透測(cè)試人員也不例外。有些人比較擅長(zhǎng)測(cè)試移動(dòng)應(yīng)用程序，有些比較擅長(zhǎng)測(cè)試API安全性和Web應(yīng)用程序，在人才緊缺的現(xiàn)實(shí)中，往往會(huì)出現(xiàn)本段標(biāo)題描述的情況。而且，由于網(wǎng)絡(luò)安全技術(shù)是如此的多樣化，即使在細(xì)分的專業(yè)滲透測(cè)試人員中，技能方面的差異依然不小，您經(jīng)常會(huì)遇到兩個(gè)不同的滲透測(cè)試人員測(cè)試同一應(yīng)用程序并發(fā)現(xiàn)不同漏洞的問(wèn)題?？紤]到如今招聘熟練安全技術(shù)人員異常困難，企業(yè)在克服技能錯(cuò)位方面沒(méi)有太多籌碼。解決此問(wèn)題的一種戰(zhàn)術(shù)解決方案是每年“輪換”滲透測(cè)試供應(yīng)商，但是，由于滲透測(cè)試的人才庫(kù)如此之小，即使你更換滲透測(cè)試供應(yīng)商，最終給你做測(cè)試的也很有可能是同一個(gè)人。

滲透測(cè)試綜合征：比風(fēng)險(xiǎn)更大的是垃圾風(fēng)險(xiǎn)

所謂滲透測(cè)試綜合癥有些類似“賣拐”，會(huì)讓企業(yè)安全狀況看起來(lái)比實(shí)際情況更糟糕。滲透報(bào)告的一種常見(jiàn)做法是討論發(fā)現(xiàn)的問(wèn)題，尤其是在找不到關(guān)鍵問(wèn)題的情況下。一些雞毛蒜皮的安全問(wèn)題被夸大標(biāo)注成“中度”甚至“嚴(yán)重”問(wèn)題，最后滲透測(cè)試報(bào)告變成了“垃圾風(fēng)險(xiǎn)”報(bào)告，誤導(dǎo)或者浪費(fèi)企業(yè)的安全資源，而不是提升企業(yè)的安全能力。

商業(yè)模式：一把昂貴的錘子

最后，傳統(tǒng)滲透測(cè)試在業(yè)務(wù)模型上有一個(gè)重大缺點(diǎn)：企業(yè)需要養(yǎng)一個(gè)全職滲透測(cè)試人員，而且你還必須支付給他們具有競(jìng)爭(zhēng)力的薪水(如果你可以給出沒(méi)有競(jìng)爭(zhēng)力的薪水而這個(gè)人卻沒(méi)有離開(kāi)，說(shuō)明你的錢白花了)，此外企業(yè)還需要撥出專項(xiàng)預(yù)算，包括滲透測(cè)試所有設(shè)備和應(yīng)用的許可證(例如Burpsuite Pro許可證等)，并為滲透測(cè)試人員提供必要的技能培訓(xùn)，慷慨資助他們?nèi)⒓痈鞣N安全會(huì)議提高技能和興奮度，這對(duì)于企業(yè)來(lái)說(shuō)無(wú)疑是一筆不小的開(kāi)支和負(fù)擔(dān)。

安全眾測(cè)如何解決這些問(wèn)題?

安全眾包/眾測(cè)采用一種靈活的、開(kāi)放性的滲透測(cè)試業(yè)務(wù)模型來(lái)解決上述問(wèn)題。企業(yè)不需要供養(yǎng)專門的測(cè)試人員，取而代之的是一群“自愿”安全研究人員注冊(cè)并嘗試發(fā)現(xiàn)企業(yè)資產(chǎn)中的漏洞，按件計(jì)酬。如果他們什么也沒(méi)找到，企業(yè)就不必支付任何報(bào)酬。

安全眾測(cè)解決的第一個(gè)問(wèn)題是滲透測(cè)試的“時(shí)間限制”。對(duì)于滲透測(cè)試人員來(lái)說(shuō)不再只有5天的時(shí)間來(lái)鉆研一個(gè)應(yīng)用程序，眾包的滲透測(cè)試通常是無(wú)明確時(shí)間限制的，這意味著您可以花數(shù)周甚至數(shù)月的時(shí)間來(lái)尋找難以捉摸的關(guān)鍵漏洞，而且效果顯著。

據(jù)一位成功的眾包滲透測(cè)試人士介紹，經(jīng)過(guò)數(shù)周的漏洞搜尋，他在一家市值數(shù)十億美元的納斯達(dá)克上市公司中發(fā)現(xiàn)了一個(gè)嚴(yán)重漏洞，可導(dǎo)致超過(guò)1億個(gè)客戶詳細(xì)信息泄露。由于漏洞的復(fù)雜性，沒(méi)有任何一個(gè)傳統(tǒng)滲透測(cè)試專家有時(shí)間對(duì)其進(jìn)行深入調(diào)查(他們過(guò)去依靠傳統(tǒng)的滲透測(cè)試卻并未發(fā)現(xiàn)此漏洞證明了這一點(diǎn))。

此外，滲透測(cè)試的這種開(kāi)放式方法也可以解決前文提到的有關(guān)連續(xù)交付和時(shí)間點(diǎn)測(cè)試的第二個(gè)問(wèn)題。眾包安全能夠?yàn)槌掷m(xù)變化的基礎(chǔ)結(jié)構(gòu)提供持續(xù)不斷的滲透測(cè)試(前提是你的資產(chǎn)能夠吸引足夠多的安全人員“入池”)。

這里引出了第三個(gè)問(wèn)題：技能和商業(yè)模式。眾包安全平臺(tái)最大的商業(yè)模式優(yōu)勢(shì)就是沒(méi)有全職員工。加盟的滲透測(cè)試自由職業(yè)者自備干糧，平臺(tái)無(wú)需支付薪水，甚至不需要支付設(shè)備材料費(fèi)。為了彌補(bǔ)技能短缺問(wèn)題，他們只需為特定項(xiàng)目匹配更多自由滲透測(cè)試人員，安全問(wèn)題的解決效率最終變成了注意力經(jīng)濟(jì)游戲，類似淘寶的直通車，只要舍得砸錢，項(xiàng)目人氣越高，發(fā)現(xiàn)和解決的問(wèn)題也越多，越快。不信你看看特斯拉。

最后，安全眾包通過(guò)結(jié)果驅(qū)動(dòng)的激勵(lì)機(jī)制解決了滲透測(cè)試綜合征問(wèn)題。如果您提交的問(wèn)題并不是真正的漏洞，并且沒(méi)有提供概念證明，則將被忽略。更糟糕的是，你將因?yàn)槔速M(fèi)客戶時(shí)間而被扣除積分甚至被平臺(tái)開(kāi)除，因此，在安全眾包平臺(tái)上，滲透測(cè)試人員提交的更多是可利用漏洞，而不是充斥“垃圾風(fēng)險(xiǎn)”的報(bào)告。

安全眾測(cè)的四個(gè)“大坑”

雖然安全眾測(cè)解決了傳統(tǒng)滲透測(cè)試的諸多弊端，但是企業(yè)應(yīng)當(dāng)清醒地認(rèn)識(shí)到，安全眾包不是萬(wàn)能神油，甚至不是滲透測(cè)試的替代方案。

今天的安全眾測(cè)仍然存在許多問(wèn)題，其中一些與商業(yè)模式基因有關(guān)的先天問(wèn)題尤為棘手：

1. 內(nèi)部與外部測(cè)試

安全眾測(cè)不適合那些需要在公司內(nèi)部進(jìn)行的測(cè)試。在常規(guī)滲透測(cè)試中，一名安全顧問(wèn)親自來(lái)到企業(yè)客戶的辦公室，將筆記本電腦接入企業(yè)即可開(kāi)始測(cè)試。在眾測(cè)的情況下，這是不可能的，因?yàn)楸姕y(cè)需要設(shè)置復(fù)雜的VPN和/或代理混合設(shè)置，并且網(wǎng)絡(luò)必須能夠維持?jǐn)?shù)十個(gè)(甚至數(shù)百個(gè))并發(fā)的測(cè)試負(fù)載。這就是到目前為止，大多數(shù)安全眾測(cè)業(yè)務(wù)都集中在Web安全領(lǐng)域的原因，因?yàn)閣eb應(yīng)用安全測(cè)試可以從任何地方發(fā)起，訪問(wèn)成本和復(fù)雜性都相對(duì)較低。

對(duì)于物聯(lián)網(wǎng)和智能硬件設(shè)備，安全眾測(cè)意味著廠商需要向每個(gè)測(cè)試人員都提供一個(gè)產(chǎn)品(例如智能跑步機(jī))，這可能會(huì)是一筆不小的開(kāi)支，而且，如果測(cè)試人員遍布全球，測(cè)試成本還將繼續(xù)飆升。

2. 資源池有限

在如今全球性的安全人才荒中，進(jìn)攻性安全領(lǐng)域也遭受著技能短缺的困擾。安全眾測(cè)雖然理論上可以利用全球的安全人才資源庫(kù)，但實(shí)際運(yùn)行中資源庫(kù)也是有局限的。

如果你能抽空調(diào)查一下目前市場(chǎng)上幾個(gè)主流的安全眾測(cè)平臺(tái)，就會(huì)發(fā)現(xiàn)一個(gè)“驚喜”——賞金榜單幾乎讓一小撮高手給霸占了。

雖然安全眾測(cè)平臺(tái)的營(yíng)銷宣傳資料會(huì)鼓吹坐擁全球數(shù)千名頂級(jí)安全專家，但骨感的現(xiàn)實(shí)是，如今平臺(tái)上發(fā)現(xiàn)的大多數(shù)漏洞都被一個(gè)不超過(guò)二十名研究人員小圈子給壟斷了。這就產(chǎn)生了資源問(wèn)題，安全眾測(cè)公司需要持續(xù)增長(zhǎng)，因此需要更多的客戶，發(fā)布更多的測(cè)試項(xiàng)目，而眾包公司也需要不斷增長(zhǎng)的風(fēng)險(xiǎn)投資。平臺(tái)越大，測(cè)試需求越多，就需要更多的滲透測(cè)試人員，但遺憾的是，滲透測(cè)試人力市場(chǎng)已經(jīng)是個(gè)飽和存量市場(chǎng)，所有能上場(chǎng)的選手都已經(jīng)在場(chǎng)上了。你無(wú)法強(qiáng)迫更多自由職業(yè)者去參加你的測(cè)試項(xiàng)目，因?yàn)閰⑴c的人太多帶寬已經(jīng)不夠用了。

3. 眾包滲透測(cè)試的成本

盡管安全眾測(cè)公司將成本作為一個(gè)賣點(diǎn)，但從任何角度來(lái)衡量，眾包滲透測(cè)試都談不上便宜。今天，外部網(wǎng)站的滲透測(cè)試服務(wù)費(fèi)用是項(xiàng)目天數(shù)乘以顧問(wèn)的每日費(fèi)用。

讓我們以每日顧問(wèn)費(fèi)1200美元，為期五天的傳統(tǒng)網(wǎng)站滲透測(cè)試項(xiàng)目為例，你需要支付的總費(fèi)用約6000美元。但是如果你選擇安全眾測(cè)，最終需要支付的平臺(tái)費(fèi)用可能會(huì)是該費(fèi)用的很多倍。除此之外，您還必須為發(fā)現(xiàn)的每個(gè)漏洞付出獎(jiǎng)勵(lì)，因此，發(fā)現(xiàn)的漏洞越多，您付出去的錢就越多，這意味著您的成本很快就會(huì)失控。

這里有一個(gè)“成本可控”的特例需要注意：Synack(安全眾測(cè)平臺(tái)之一)只收取平臺(tái)費(fèi)，所有漏洞獎(jiǎng)勵(lì)支出都由平臺(tái)負(fù)擔(dān)。但由于進(jìn)入門檻很高，這種模式隔離掉了大多數(shù)中小企業(yè)。

目前，聯(lián)邦制是中小型企業(yè)的唯一選擇。聯(lián)邦制的平臺(tái)成本和漏洞獎(jiǎng)勵(lì)支出更低，雖然甲方企業(yè)會(huì)開(kāi)心，但是更少的收入對(duì)研究人員(尤其是高水平研究人員)的吸引力也會(huì)隨之下降。

4. 共享黑客經(jīng)濟(jì)?

雖然共享經(jīng)濟(jì)這個(gè)詞被用爛了，但是安全眾測(cè)本質(zhì)上確實(shí)是共享經(jīng)濟(jì)，你可以稱之為威客經(jīng)濟(jì)或者溯源其英文名稱——Gig Economy。人們很容易聯(lián)想到一些大眾耳熟能詳?shù)墓蚕斫?jīng)濟(jì)例如Uber和Airbnb之類，共同特點(diǎn)都是系統(tǒng)性地(甚至是更加殘酷地)剝削那些放棄了傳統(tǒng)福利和保障(例如退休金和病假工資)的自由職業(yè)者。

但是，有一個(gè)關(guān)鍵的區(qū)別：共享經(jīng)濟(jì)中的平臺(tái)，例如共享出租司機(jī)，實(shí)際上是小時(shí)工，只要提供服務(wù)就可以獲得與工作時(shí)長(zhǎng)匹配的收入。但從事眾包滲透測(cè)試的安全研究人員，他們就像非洲草原上的獵豹，無(wú)論多么幸苦，如果沒(méi)有發(fā)現(xiàn)漏洞也將“顆粒無(wú)收”。事實(shí)上，大多數(shù)滲透測(cè)試人員一天甚至數(shù)天都發(fā)現(xiàn)不了一個(gè)漏洞，而且他們沒(méi)有養(yǎng)老金。

不僅如此，參與安全眾測(cè)，你還需要自費(fèi)購(gòu)買所有工具，例如一部越獄的iPhone、一臺(tái)專門安裝Kali Linux的便攜電腦、一個(gè)Burp Suite Pro軟件許可證等等。對(duì)于眾包的安全公司而言，這確實(shí)可以節(jié)省大量成本，因?yàn)樗鼈?ldquo;有效”解決了滲透測(cè)試服務(wù)公司所苦苦掙扎的商業(yè)模式問(wèn)題，但副作用是對(duì)專業(yè)勞動(dòng)力的嚴(yán)酷盤剝。

總結(jié)

最后，讓我們說(shuō)句公道話，盡管傳統(tǒng)滲透測(cè)試和安全眾測(cè)各自存在很多問(wèn)題，但這兩種方法確實(shí)存在互補(bǔ)性。沒(méi)有一種可以解決所有問(wèn)題的進(jìn)攻性安全測(cè)試“快餐”解決方案，在今天這個(gè)安全態(tài)勢(shì)和威脅異常嚴(yán)峻的大環(huán)境中，每位企業(yè)CISO都應(yīng)當(dāng)意識(shí)到，最佳實(shí)踐和方法是自身摸索出來(lái)的，不是(用錢)砸出來(lái)的。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文