360众测打造“五可理念” 开创众测服务新业态

本篇文章1835字，读完约5分钟

随着2020年全球疫情的蔓延，越来越多的企业转向网上办公，互联网的边界进一步拓宽，随之而来的网络威胁也越来越多。

在空网络对抗日益军事化的国际形势下，网络安全已经上升到国家战略层面。漏洞是网络安全威胁的来源，一个重要漏洞的价值不亚于导弹。随着我国漏洞信息共享和通知处置的不断加强，漏洞应急工作取得了丰硕成果，应对重大安全漏洞的能力不断增强。然而，基于事件的漏洞和高风险零日漏洞的数量仍在上升，信息系统面临的漏洞威胁形势依然严峻。

在此背景下，360漏洞云安全公共测试服务平台(简称360公共测试)应运而生。360漏洞云安全公共测试服务平台是围绕360漏洞生态系统构建的综合安全服务平台，集漏洞智能、专家响应和安全服务定制于一体。该平台由全球360强火神(vulcan)团队领导，该团队聚集了高端安全研究人员。攻击者通过创建“值得信赖的人员、贯穿整个过程的可见性、可控制的风险、行为阻力和可追踪的违规”这五个概念，认为。白帽模拟黑客在可控安全的场景下，对业务系统进行全面深入的安全测试，帮助企业挖掘出正常业务流程中隐藏的安全缺陷和漏洞，并提出专业建议。

重塑公共测试新模式，增强企业安全感

安全公共测试作为一种基于互联网模式的渗透测试服务，通过互联网平台聚集安全人才，具有任务发布灵活、结果反馈快速、测试效果显著、性价比更高的优点，受到许多企业的青睐。对于企业来说，没有必要雇佣全职测试人员。取而代之的是，一群“自愿”的安全研究人员注册并试图发现企业资产中的漏洞，并根据结果进行支付。利用这种模式进行安全测试可以节约成本，提高效率。然而，由于安全公共测试平台的聚合专家在测试能力和渗透测试行为规范上的巨大差异，也对公共测试平台的审计和运行能力提出了巨大挑战。

与国内其他安全公共测试平台相比，360公共测试集成平台约束、法律和技术管控建立了完善的流程保障体系，有针对性地挖掘客户系统的漏洞，确保公共测试交付的整体质量。360公测通过严格的射击场准入机制和全程透明的安全控制和监管模式，开创了公测服务的新形式。它有五个特点:

人员可信度:平台实行非公开注册制度，任何加入平台的安全研究员都必须提交个人信息。通过技术靶场检查、严格的背景调查、合同签订审核和认证等。，平台人员的身份是可信的，他们的技能是优越的。

完全可见性:360公共测试系列服务与监控产品相连，以获得视觉支持。通过监控和分析流量数据，判断数据之间的相关性，识别当前动作所在的攻击环节，同时定位攻击发起时间、攻击利用位置、攻击来源等信息，形成完整攻击链的可视性，使安全服务过程“实战”呈现。

风险可控:360公测是一项创新性的技术突破，是一个全流程监控和分析能力的公测服务平台。它可以对https进行全流分析，整个过程没有死角，攻击过程大屏幕可视化显示。根据客户要求，设置项目加入限制，并结合法律法规确保工作正确。

行为可以被阻止:360公共测试使用帐户权限管理来严格控制安全研究人员的临时项目测试帐户，并与行为审计系统合作。一旦在测试过程中发现恶意和非法行为，测试账户权限将被立即冻结，从而阻断测试渠道，防止后续损失，并永久取消其项目参与资格。

违规的可追溯性:在测试过程中，360名公共测试人员通过技术手段实时捕获测试行为，并形成审计日志，可以实时追溯和调查。平台记录的日志将遵循安全记录和永久保密的原则，仅供客户和监管机构审核使用。

信任、原则、权威、共建，共同构建网络安全新生态系统

360公共测试的出现不仅创新了公共测试服务模式，也为企业和白帽搭建了一个o4t技术概念交流环境。通过信任、特尼特原则、最高权威和共同努力，我们将与安全专家共同努力，构建新的网络安全生态，开创21世纪第五维strategy/きだよ 0的新时代。

对于企业来说，360公测有着严格的技术审核机制，所有注册人员必须通过射击场的技术考试后才能注册为交付人员，360公测筛选出质量最好的测试人员投入到项目交付中，从而保证企业获得更好的安全服务。网络聚集了整个网络的精英白帽，建立了企业专属的应急中心，有数千人及时发现和处理漏洞威胁；对于白帽来说，参加360公测不仅意味着收入的增加，还意味着他们将在项目中提升自己的技术，在平台上与其他白帽展开竞争，在实战中提升自己的技术，为安防行业的人才发展带来创新和活力。随着企业和个人开展漏洞挖掘，公共测试活动的价值不断凸显，360公共测试也将对提高公共测试行业的服务基准起到积极作用。

来源：搜狐微门户