360漏洞云安全眾測服務(wù)平臺發(fā)布，重塑眾測新業(yè)態(tài)提升企業(yè)安全感

2020年全球疫情蔓延，越來越多企業(yè)轉(zhuǎn)戰(zhàn)線上辦公，互聯(lián)網(wǎng)邊界進(jìn)一步拓寬的同時，隨之而來的網(wǎng)絡(luò)威脅也在不斷增加。在網(wǎng)絡(luò)空間對抗日益軍事化的國際形勢下，網(wǎng)絡(luò)安全已上升至國家戰(zhàn)略層面。而漏洞是網(wǎng)絡(luò)安全威脅的源頭，一個重要漏洞的價值不亞于一枚導(dǎo)彈。隨著我國漏洞信息共享與通報處置工作的持續(xù)加強(qiáng)，漏洞應(yīng)急工作已卓有成效，對于重大安全漏洞的應(yīng)對能力得到了不斷強(qiáng)化。但事件型漏洞和高危0day漏洞數(shù)量仍在不斷上升，信息系統(tǒng)面臨的漏洞威脅形勢依然嚴(yán)峻。

在此背景下，360漏洞云安全眾測服務(wù)平臺（簡稱360眾測）應(yīng)運(yùn)而生，360漏洞云安全眾測服務(wù)平臺是圍繞360漏洞生態(tài)體系打造的集漏洞情報、專家響應(yīng)、安全服務(wù)定制化于一體的綜合性安全服務(wù)平臺。平臺由世界頂尖的360 Vulcan（伏爾甘）團(tuán)隊擔(dān)任技術(shù)引領(lǐng)，聚集高端安全研究人員，通過打造“人員可信，全程可視，風(fēng)險可控，行為可阻，違規(guī)可溯”五可理念，以攻擊者思維，在可控、安全的場景下，由白帽模擬黑客對業(yè)務(wù)系統(tǒng)進(jìn)行全面深入的安全測試，幫助企業(yè)挖掘出正常業(yè)務(wù)流程中隱藏的安全缺陷和漏洞，并提出專業(yè)的修復(fù)建議，使企業(yè)先于黑客發(fā)現(xiàn)安全風(fēng)險，防患于未然。

重塑眾測新業(yè)態(tài)，提升企業(yè)安全感

安全眾測作為一種基于互聯(lián)網(wǎng)模式的滲透測試服務(wù)，通過互聯(lián)網(wǎng)平臺聚集安全人才，兼具任務(wù)發(fā)布靈活、結(jié)果反饋快速、測試效果顯著、更具性價比等優(yōu)勢，受到諸多企業(yè)青睞。對企業(yè)來說，無需雇傭?qū)Ｂ殰y試人員，取而代之的是一群“自愿”的安全研究人員注冊并嘗試發(fā)現(xiàn)企業(yè)資產(chǎn)中的漏洞，按效果計酬，用這種模式進(jìn)行安全測試更能節(jié)約成本，提高效率。但由于安全眾測平臺聚合的專家在測試能力和滲透測試行為規(guī)范方面存在很大差異，對眾測平臺的審核及運(yùn)營能力也提出了很大的挑戰(zhàn)。

相較于目前國內(nèi)其它安全眾測平臺，360眾測綜合運(yùn)用平臺約束、法律和技術(shù)管控為客戶系統(tǒng)的定向漏洞挖掘建立了完善的過程保障體系，保障眾測交付的整體質(zhì)量。360眾測通過嚴(yán)格的靶場準(zhǔn)入機(jī)制和全程透明的安全把控監(jiān)管模式，開創(chuàng)了眾測服務(wù)新業(yè)態(tài)。其具備五大特征：

人員可信：平臺實行非開放注冊制，任何一名加入平臺的安全研究人員均需提交個人信息，通過技術(shù)靶場檢驗，嚴(yán)格的背景調(diào)查及合同簽署審核認(rèn)證等機(jī)制，確保平臺人員的身份可信、技能優(yōu)越。

全程可視：360眾測系列服務(wù)全程接入監(jiān)控產(chǎn)品進(jìn)行可視化支撐，通過對流量數(shù)據(jù)的監(jiān)測分析及數(shù)據(jù)間的關(guān)聯(lián)關(guān)系判斷，識別當(dāng)前動作所處攻擊環(huán)節(jié)，同時定位攻擊發(fā)起時間、攻擊利用位置、攻擊源等信息，形成完整攻擊鏈的可視，使安全服務(wù)過程 “實戰(zhàn)化 ”呈現(xiàn)。

風(fēng)險可控：360眾測創(chuàng)新技術(shù)突破，是擁有全過程全流量監(jiān)測分析能力的眾測服務(wù)平臺，可以對https進(jìn)行全流量分析，全過程無死角，攻擊過程大屏可視化展示。根據(jù)客戶要求設(shè)置項目加入限制，并結(jié)合法律法規(guī)以確保正確開展工作。

行為可阻：360眾測利用賬戶權(quán)限管理，對安全研究人員的臨時項目測試賬號進(jìn)行嚴(yán)格管控，配合行為審計系統(tǒng)，一但發(fā)現(xiàn)測試過程中存在惡意、違規(guī)行為，將立即凍結(jié)測試賬號權(quán)限，從而阻斷測試通道防止產(chǎn)生后續(xù)損失，并永久取消其項目參與資格。

違規(guī)可溯：測試過程中，360眾測通過技術(shù)手段對測試動作進(jìn)行實時全流量捕獲，形成審計日志，可進(jìn)行溯源、實時反溯查處，平臺所記錄日志將遵循安全記錄，永久保密的原則，且僅供客戶及監(jiān)管單位進(jìn)行審計使用。

信任，原則，權(quán)威，共建，攜手共建網(wǎng)絡(luò)安全新生態(tài)

360眾測的出現(xiàn)不僅創(chuàng)新了眾測服務(wù)模式，也為企業(yè)和白帽搭建了O4T技術(shù)理念交流環(huán)境，通過Trust信任，Tenet原則，Top權(quán)威，Together共建，與安全專家攜手共建網(wǎng)絡(luò)安全新生態(tài)，共創(chuàng)21世紀(jì)第五維戰(zhàn)略空間新紀(jì)元。

對企業(yè)來說，360眾測具有嚴(yán)格的技術(shù)審核機(jī)制，所有注冊人員都必須通過靶場技術(shù)考核才能注冊成為交付人員，360眾測篩選最優(yōu)質(zhì)的測試人員投入項目進(jìn)行交付，保障企業(yè)獲得更好的安全服務(wù)。網(wǎng)聚全網(wǎng)精英白帽，為企業(yè)建立起專屬應(yīng)急響應(yīng)中心，千人千面，及時發(fā)現(xiàn)并處理漏洞威脅；對白帽來說，加入360眾測不僅意味著收入上的提升，他們還將在項目中精進(jìn)技術(shù)，并在平臺上與其它白帽同臺競技，在實戰(zhàn)中提升技術(shù)，為安全行業(yè)人才的發(fā)展帶來了革新和活力。隨著企業(yè)和個人開展漏洞挖掘、眾測活動價值持續(xù)凸顯，360眾測也將對提高眾測行業(yè)服務(wù)基準(zhǔn)起到積極作用。

責(zé)任編輯：gt