这家公司用”众包”来做更好的安全

俗语说,进攻是最好的防御。在企业安全中,没有比这句话更真实贴切的了。抢在黑客之前发现漏洞可以防止灾难性数据泄露,避免对公务业务和信誉产生重大打击。

大多数企业都是采用如下两种方式中的一种:其一,人工的,由人来测试潜在的弱点;其二,自动的,由漏洞扫描器滤出网络中潜在的漏洞。但单独使用这两种方法都不能保证完全有效。

[[158991]]

“当今的漏洞解决方案有缺陷。有些是以人为中心,定点儿进行渗透测试,受测试员自身技术水平和测试计划时间线的限制较大。其他的则完全依赖于扫描器技术,让已经很紧张的IT部门再被重报、误报、不均衡的质量水平和成千上万需要人工审核的提交给淹没,”Synack首席技术官马克·库尔表示。

Synack,一家前国家安全局的分析人员成立的公司,创始人兼现任首席执行官是前国家安全局分析师杰·卡普兰,他和库尔采取了结合人机两种方法优势的新途径来解决这一问题:将漏洞评估众包给Synack红队(SRT)和Hydra技术。

SRT是由全球独立安全研究专家组成的团队,利用他们的技术和专业知识以及尖端科技发现潜在脆弱点。Hydra技术则持续扫描客户网络漏洞并将威胁情报报告给内部安全团队和SRT。

众包安全

卡普兰认为,该创意在于众包安全可以利用最佳思维、最佳技术和最佳实践呈现关于潜在漏洞的客观视图并快速有效地修复它们。

SRT成员都是网络安全业界精英,在加入SRT之前都要经过广泛细致的背景调查和筛选。筛选过程紧张而富挑战性,候选人通过率仅有大约10%。SRT成员以自由职业者的方式工作,很多人的正职是其他IT公司的安全人员。他们的薪水按件支付,发现一个漏洞并为客户修复便计入薪酬。

这就是众包安全情报。这一模型下,客户的资产能得到持续的安全覆盖,客户能得到自身安全态势的多元化客观认知。我们讨论的不是一两个人而是由上百人组成的团队持续不断地寻找威胁。Synack的私有“漏洞奖励”模型崇尚匿名性。出于保密义务,Synack不公开其客户名单,但卡普兰称,该公司每季度财富500强客户增长率超过300%。

“我们预期可能会有个‘客户培育’和‘清除进入壁垒’的过程,但却发现即使是来自监管最严格最保守行业的公司也在踊跃采纳Synack。”

Hydra技术

当然,即使有成百上千个专职的安全专业人士,要实时地对每一个可能的漏洞做出反应也是不够快的。网络、软件和应用都太复杂了,黑客自然也是很聪明的,尤其是在大企业环境下这两点特别突出。Synack将新技术Hydra结合SRT团队和客户内部安全,三者协同工作以加速大范围的威胁识别过程并做到迅速修复。

Hydra的持续监视功能被设计为与SRT测试过程的侦查阶段无缝衔接,令他们可以在不影响质量的情况下对大企业的所有资产进行更快更深入的测试。这一对人力和机器的优化组合是与企业每天面对的现实威胁进行战斗的独特方法,战略性地凸显出“研究人员利用先进的技术手段应对资深黑客威胁”的一种解决方案。

Hydra平台提供的三种功能——主机监视、Web应用分析和手机应用分析,均将分阶段推出。主机监视功能已于上月向Synack客户开放,Web和手机测试功能将于2016上半年推出。Hydra技术以SaaS方式提供,客户没必要安装任何实体或虚拟的设备,不用部署任何软件,也不用购买和维护任何硬件基础设施。

“我们的客户已经见识到了拥有这些研究人员为他们工作的价值,但我们开始对怎样有效将此服务推向复杂庞大的企业群体并保持SRT的富有成效发出了疑问。有了Hydra,我们就既可以利用人类经验和技术的深度和广度,又可以依赖机器执行重复性任务,让安全工作开展得快速有效。”

Synack关键词

1. 安全众包平台

同时提供“安全即服务”(SECaaS)产品,企业只需要支付一定月费,就能享受持续的安全情报服务,对接企业和全球范围的白帽,帮助企业解决安全问题。

2. 漏洞奖励

Synack还运营着一个高水准的企业漏洞奖金计划,与全球顶尖安全专家和白帽子签署合同,为发现漏洞的签约专家支付漏洞奖金。

3. 融资

Synack今年2月完成2500万美元融资。

原文地址:http://www.aqniu.com/neo-points/12502.html

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/128681.html<

(0)
管理的头像管理
上一篇2025-02-25 06:28
下一篇 2025-02-25 06:30

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注