◆ 漏洞银行创始人Steve罗清篮
文| 铅笔道 记者 薛婷
►导语
“Pwn”发音类似“砰”,这是一个黑客俚语,代表攻击成功,操控了被“黑”设备。
有一群黑客“Pwn”的目的并非窃取对方信息,而是找到系统的漏洞,提醒企业尽早修复,他们俗称白帽黑客。
然而,部分黑客游走在黑帽与白帽之间。如何让黑帽转为白帽?如何让白帽更好地为企业查找漏洞?
为此,白帽黑客罗清篮创办了漏洞银行(BUGBANK)。平台一端连接白帽,一端连接企业,其业务流程如下:企业入驻授权检测——白帽找出漏洞后提交——平台给出技术评级——企业给出危害评级,并根据两项评级为该漏洞定价——最后企业通过平台向白帽支付费用。
目前,漏洞银行注册的白帽有1万多名(20%是95后),每月发现漏洞超过2000个。企业客户约为1000家,以政府、电商、互联网金融、游戏行业为主,如宜信、51job、大众点评等。
近期世纪佳缘抓捕白帽事件令白帽群体处于风口浪尖。罗说:“我特别喜欢白帽们,他们并不是一个纯粹商业化的群体,而是一群技术宅,希望外界不要有太多的打压。”
展开全文
注: 罗清篮已确认文中数据真实无误,铅笔道愿与他一起为内容真实性背书。
提交漏洞不曝光
罗清篮自小爱好黑客。出生在信息安全世家的他,打小学起接触网路安全;初中和高中时已是《黑客防线》的特约签约作者。
时光辗转到大学时期,他依然泡在这个行业。参加各种黑客比赛之余,他组织了一个社团——大学网络协会。2009年他上大三,从社团里挑了一帮伙伴,办起了公司。
◆漏洞银行的产品之神&联合创始人Madison张雪松
那是他第一次创业。经企业授权,他们模拟黑客找到入侵企业核心数据等的方法或路径,由此撰写风险评估报告。此外,公司还开发销售防护硬件产品。
一做便是五年。期间,公司被一家传统企业投资,盈利情况良好。罗坦言,“当时不太懂投融资”。
2013年年底,他被一家名为乌云(WooYun)的平台所吸引。其模式为通过白帽提交、公开企业的漏洞。“由于媒体对漏洞曝光趋之若鹜,该平台的知名度迅速升温。”
罗清篮很受启发。“乌云开创了漏洞提交的先河。”
然而,他个人认为,乌云的模式有一个比较致命的弱点:公开企业漏洞。“过去几年服务客户的过程中,感觉不少客户挺反感将漏洞公开。”
曾有一家在美国纳斯达克上市公司的CTO对他抱怨道:“当时乌云上公开了一个公司系统漏洞,股价遭受影响,当天跌了5%。”
这个点触动了他。“如果我们做一个漏洞提交平台,但是不曝光企业的漏洞,而是对接白帽与企业,让企业尽快修补漏洞,这样企业的认同度是否会更高呢?”
他决定尝试一番,创办了漏洞银行。“传统企业投资理念不会那么超前,需要找一家风投单独来做这个项目。”
2014年新年一过,罗一手筹备开发提交平台,一手接触风投。经朋友介绍,他收到了来自软银中国资本的橄榄枝,顺利敲定500万美元A轮融资。
游走的白帽群体
在罗清篮的设想中,白帽发现提交企业的漏洞后,企业为其付费。但由于黑客行业混乱,加之不知企业付费意愿如何,罗花了很长时间走访验证。
他发现很多企业是痛并快乐着。“首先他们也接受乌云的这种曝光形式,虽然有一些声誉上的影响,但是帮企业提早发现了隐患。”他笑着说,“我们希望企业不痛也能快乐。”
但是也有企业对白帽心存恐惧。比如,企业授权黑客测试系统,他找到了10个漏洞,但是只告诉企业7个,自己留了3个可能去做其它交易。“这会让企业无形中遭受损失,由于经过授权,也不好纠责。”
况且部分白帽群体本身就游走在黑帽与白帽之间,互联网还催生出一种黑色产业链。有些企业会雇佣黑帽黑客攻击竞争对手,黑帽在未经授权的情况下,找到漏洞直接读取数据,转卖牟利或者用流量攻击对方网站。
“互联网金融行业有近50%的企业遭受过黑帽黑客攻击。”他补充道,“黑帽的法律风险极高,如果白帽有较好的生存空间,一般是不会转去做黑帽的。”
此外,一些企业对于安全问题存在偏见和忽视。“有的企业不愿意让白帽提交漏洞,他担心白帽除了会获取利益外,会持续不断地提交漏洞,或者引起黑帽的关注。”
有些处于早期的企业,忙于业务本身,并不愿在安全上投入。“等之后业务做大出现问题,他们再亡羊补牢,发现付出的成本更大,我见过很多鲜活的例子。”
◆漏洞银行的“运营黑帮”
为了规避以上种种问题,2015年年初,漏洞银行网站上线,罗没有大张旗鼓宣传,而是默默地做起内测。“先要让企业提升对安全的认知度,并且靠市场机制聚拢白帽群体,或许能让黑帽转白帽。”
半年内测
罗清篮邀请了几十家之前积累的企业用户参与,平台同时入驻了一批圈内知名的白帽。“全靠白帽朋友之间互相介绍。”
首先,内测企业要授权允许平台上的白帽测试查找漏洞。“这样规避了法律风险。”
◆漏洞银行的黑客教主&联合创始人张博文
其次,平台对白帽有保护机制。“例如一些重点项目的测试,会对白帽的身份和IP进行备案。防止出现发现10个漏洞只告诉7个的情况。”
罗还推翻了传统的漏洞评级方式。行业里的漏洞通常分为高危、中危和低危,“我觉得这样分比较水”。
有些漏洞从白帽角度来看,技术难度很高,费了很多精力才挖掘到。但是提交给企业后,对方认为这个漏洞可能并不会对业务系统造成多大的影响。
如此,“可能引起白帽的愤怒,感觉技术未受到重视。也许会在网上曝光夸大企业漏洞,或者进行黑色交易。”
于是,他独创了一种方式——联合诊断。平台自建了由白帽组成的专家团队,当时约有20人,负责对白帽审计,确定漏洞的有效性和技术难度。
随后,平台把评判结果交给企业,由企业做出业务危害性评判。“我们设置了从P0(威胁最高)到P6(威胁最低)七级评判标准。”
内测期间,白帽提交测试企业的漏洞后,平台代企业奖励白帽。根据漏洞的危害不同,奖励从几百元到上万元不等。
若白帽提交的漏洞并非内测企业的,平台有两种处理方式。如果能找到该企业,会通知企业来入驻监测,获取授权;若联系不到,平台会拒收。
经过半年内测,平台汇集了约3000个白帽,约500家企业,每月提交漏洞约1000个。
过程中,他们发现了企业的其它需求。“有些企业的服务器分为内网和外网,他在外部做测试时,可能只针对外网,但是内网也有可能存在漏洞。”
为此,漏洞银行提前标注可检测的网络资产,对指定的网络资产实现有效监控,第一时间通知相应的负责人。
年中,罗清篮觉得模式跑通,决定正式运营漏洞银行。
每月超2000个漏洞
平台不再代替企业付费。其业务流程如下,企业入驻授权检测——白帽找出漏洞后提交——平台给出技术评级——企业给出危害评级,并根据两项评级为该漏洞定价。“把定价的权限交给企业。”
费用由企业通过平台支付给白帽,白帽不与企业直接沟通。“白帽是一群技术人员,不太懂商务那一套;企业方可能认为白帽在拿漏洞威胁。”
平台从中做沟通,制定标准和规则。“我们会告诉企业其它平台的定价范围,任他们参考。”
如果出现企业故意低价或者不出价的情况,白帽可向平台反馈申诉。“平台会介入调查,如果情况属实,会下架该企业或者降低企业的检测排名。这样白帽会意识到这是一个没有支付能力的公司,会把精力放在寻找其它公司的漏洞上。”
倘若问题出在白帽身上,比如白帽出现黑色交易、威胁企业等极端行为,平台会直接封号并冻结账号。
多种机制促进漏洞提交形成市场价。期间,白帽数量快速增长。“圈子不大,口碑传播。”
◆ 黑客聚餐的姿势是酱紫的
为提高白帽的活跃度,今年3月,他上线社区栏目“PWN”(黑客俚语,代表攻击成功)。在这里,黑客可以自由发表观点,上传检测报告(必须对企业信息打码处理),分享新技术等。
每周和每月,平台会对白帽个人或团体做声望排行榜。评价范围包括其所写的PWN文,发现漏洞质量、数量等。“排名靠前的除了现金奖励外,还会被邀请参加线下沙龙交流等活动。”
不久后,平台对排名靠前的白帽个人或团体进行专访报道,挖掘其背后的故事。“我想包装他们,打造在行业里的知名度,算是一种变相地扶持。”
6月,漏洞银行推出SaaS产品,将对接白帽与客户的服务全部自动化处理。“白帽向平台投诉的话,只要附加理由,系统便自动化处理。我们将近一年多的运营经验形成了规范化操作,代替了人工。”
原本,为白帽对接一家企业,需要10~15天,如今一天甚至半天即可。“双方实时处理漏洞。”
接下来,罗计划增加评价功能,由白帽与企业互评。“无论定价还是交易,全是靠双方的信任,评价形成的口碑将是一种约束。”
在SaaS产品中,白帽只是为企业提供服务的一部分。如今,他正在对接其它信息安全企业入驻平台。“企业登录平台后,经过简单操作,便能有白帽为他监测漏洞,还有其它企业提供安全咨询、修补、防护产品等。”
目前,漏洞银行线上月流水超过50万元,注册的白帽有1万多名(20%是95后),每月发现漏洞超过2000个。企业客户约为1000家,以政府、电商、互联网金融、游戏行业为主。罗下一步打算拓展互联网保险行业的客户。
近期,世纪佳缘抓捕白帽事件闹得沸沸扬扬。罗清篮感叹道:“打压白帽群体没有任何好处,是逼着白帽转黑帽。一旦没有了白帽,那将全都是黑帽。”
/The End/
编辑 王 方校对 王 姝
求报道
请加pencil-news为好友