【公益案例展】奇安信补天漏洞响应平台—

‍

奇安信公益案例

本项目案例由奇安信投递并参与数据猿与上海大数据联盟联合推出的 #榜样的力量# 《2023中国数据智能产业最具社会责任感企业》榜单/奖项”评选。

‍数据智能产业创新服务媒体

——聚焦数智 · 改变商业

我国网络安全行业存在人才奇缺、政企机构安全能力不足的现状，国内大部分企业缺乏相应的漏洞修复和安全保护措施。为此，“补天漏洞响应平台”上线，该平台凝聚白帽子志愿力量，通过“补天平台-企业”间的良好互信和激励机制，形成初步的网络安全预警生态。

2017年后，随着《网络安全法》《网络产品安全漏洞管理规定》等相关法律法规的出台，企业对网络安全的重视程度有所提升，但其安全投入与专业人才储备不足，内部团队难以全面识别安全风险。补天平台黏合企业需求，帮助企业内部识别与解决相关问题，并形成合作的安全生态。补天平台先后被公安部、工信部、国家信息安全漏洞共享平台、国家信息安全漏洞库分别评定为技术支持先进单位、漏洞信息报送突出贡献单位和一级技术支撑单位。

“补天平台”通过网聚安全力量，为社会提供准确、翔实的漏洞情报,能够帮助组织实现漏洞的及时发现与快速响应。同时,“补天平台”也积极动员社会白帽子,通过营造实战化的学习环境、建设协同育人的导师制度、构建技能衔接的知识体系,用专业志愿服务的形式,对白帽黑客群体进行正面引导,为我国网络安全提供坚实、可靠的公益性保障。

时间周期：

开始时间：2013年3月

截止时间：长期项目

服务周期：服务中

应用场景

一、公益SRC服务：漏洞招领模式的安全服务，免费得到漏洞的细节与修复方案。

1、漏洞免费发现：聚11万名白帽子为企业提供免费的漏洞发现服务，原则上企业无需付费，补天平台也不会公布漏洞的细节，极大地扩展了企业漏洞发现能力。

2、漏洞免费认领：企业登陆补天平台，免费注册后即可认领属于自己的漏洞，得到漏洞详情和修复建议，极大地节省了企业漏洞发现成本。

3、漏洞免费通知：厂商注册后，以后只要有新的漏洞被发现，即可直接进行邮件、短信、微信、站内信等渠道推送极大地提高了企业的漏洞响应效率。

4、漏洞免费审核：补天安全专家随时待命，免费为企业对白帽子提交的漏洞进行专业审核，极大地弥补了企业安全人员的不足。

二、专属SRC：补天为企业用户免费建立SRC漏洞奖励计划，企业可根据业务场景和自身资产情况，自定义创建项目，自助式配置奖励计划内容、接收漏洞的资产范围、漏洞评级规则等，并通过奖金悬赏的形式收集漏洞，在平台实现对漏洞的全生命周期管理。

1、更匹配项目的白帽群体：借助“白帽能力模型”挑选更合适人选，不断维护和更新的“白帽子能力模型”直观展示了白帽子所擅长的领域、技能，从而让专业技能匹配上最合适的项目。

2、持续检测和漏洞发现：经过补天平台认证、培养、选拔和考察的补天白帽专家，责任过硬，能力过硬，作风过硬，可以有效的对企业的互联网资产进行持续性的安全检测，并第一时间报告到企业专属账号下。

3、补天专家审核确认：经过补天平台漏洞审核专家的精细审核，评估确定漏洞质量符合漏洞标准。企业实时得到漏洞预警通知，及时响应和修复，并在企业内部推进安全开发流程和意识建设。

4、优先解决逻辑型漏洞：现在的攻击者更倾向于利用业务逻辑层的应用安全问题，这类问题往往危害巨大，可能造成企业的资产损失和名誉受损，并且传统的安全防御设备和措施收效甚微。补天白帽专家以彼之道施以彼身，能在攻击者发现问题前识别到威胁并及时予以预警。

5、促进漏洞管理流程优化：促进漏洞管理流程优化完成补天平台和企业漏洞管理系统的无缝对接，实现实时漏洞同步，通过企业内部工单系统或工作流系统，一键流转到相应部门进行快速处置和响应。

6、全生命周期管理体系：全生命周期管理体系面向企业建立完整的漏洞响应、处置流程，实现项目发布、漏洞报告、漏洞审核、漏洞修复的漏洞全生命周期管理机制。

三、补天众测：补天众测是为企业客户量身打造的基于互联网的安全测试协作平台，依托补天漏洞响应平台多年的客户服务经验和数万名白帽子资源，集结平台上技术过硬、声誉良好的精英白帽，为企业提供定向的安全渗透测试与漏洞发现服务。通过实名认证、双因子认证、网络监管等多种手段，保证测试过程安全，并提供专业漏洞修复方案，协同企业进行修复，并提供漏洞回检，帮助企业快速排除漏洞安全隐患，迅速提升安全能力。

面临挑战

一：国内企业网络安全意识薄弱，白帽子与企业点对点联系，沟通效率低，成效差。针对这一挑战，补天平台汇总白帽子漏洞，并以平台的身份与企业沟通，将原有点对点的运营模式通过平台化，形成点对面的沟通模式，大幅提升“白帽子-企业”沟通效率。

二：白帽子从业人员缺口大。由于网络安全发展趋势在我国处于早期阶段，专业人员缺口较大，奇安信与补天通过培训与高校竞赛，帮助社会人员及在校生提升实战能力，并增加物质奖励、荣誉认可、技术交流活动等方式方法激励白帽子不断提升技术能力，吸引更多白帽子。

三：针对补天识别的漏洞，企业参与度低。部分企业对系统安全重视度不高，针对暴露的漏洞未采取任何措施。补天积极与公安部、工信部、国家信息安全漏洞共享平台（CNVD）、国家信息安全漏洞库（CNNVD）等监管平台合作，参与制定《信息安全技术网络安全漏洞管理规范》、《信息安全技术网络安全漏洞分类分级指南》等国家标准，推动企业重视并及时修复漏洞。企业三日确认率逐年提升，在2022年达到41%。

四：针对漏洞解决方案，企业倾向于保守安全服务，而非线上服务模式，漏洞修复效率低。补天联合安全服务部门推出“下一代渗透测试服务”，将线上服务作为保守安全服务的补充，让企业逐步接受线上服务模式。

技术开发过程

补天漏洞响应平台采用多种手段保证用户的所有操作的安全可控，基于奇安信天眼平台的全流量审计和分析平台的能力，使用VPN接入、代理IP、攻击流量留存等技术，利用本地大数据平台对流量日志和终端日志进行存储和查询，对漏洞挖掘过程中来自不同维度的流量进行存储、解析、检索、回放，结合威胁情报和攻击链分析能力，对用户违规行为进行发现并追溯，对网络中安全事件信息进行记录审计，降低违法违规风险，支持完整的认证、管控和合规功能。

应用效果/社会价值

可持续性：成立十年来，补天平台不断迭代运营模式，响应各类网络安全问题，实现经济社会效益可持续。补天已有注册白帽子超11万名，累计为36万余家企业服务，报告漏洞超131万个。

变革性：平台改变传统点对点的漏洞响应方式，通过平台模式与民间白帽子力量，帮助企业实现网络被动防御到主动管理。

创新性：平台开创性地引入行业竞赛、实战培训及沙龙分享的模式，培育白帽专业人才，引导白帽子以合法合规的方式帮助企业发现网安隐患。

关于企业

·奇安信

奇安信科技集团股份有限公司是国内领先的基于大数据、人工智能和安全运营技术的网络安全产品及服务提供商，专注于向政府、企业用户提供新一代全面有效的网络安全解决方案。凭借在实战攻防、平台创新、规划咨询等代表领域全面领先的优势，奇安信已发展成为企业数字化转型与升级的全天候、全方位安全顾问。补天漏洞响应平台则成立于2013年3月，10年来，补天平台已经成为全中国影响力最大的漏洞响应平台之一。点击文末“阅读原文”链接，还可了解更多“奇安信”信息。

·项目案例