【背景】

? ? ???大型企業(yè)的業(yè)務(wù)模式多，涉及的產(chǎn)品也多，特別是互聯(lián)網(wǎng)業(yè)務(wù)講究“小步快跑敏捷迭代”，往往忽視了安全檢查或者來不及進(jìn)行細(xì)致的安全檢查，同時安全系統(tǒng)本身是程序也會存在各種遺漏，因為互聯(lián)網(wǎng)業(yè)務(wù)的在線特性，使得互聯(lián)網(wǎng)的人都能夠接觸到，相對于傳統(tǒng)業(yè)務(wù)被攻擊面擴(kuò)大，所以更容易被善意的、惡意的或者無意的人發(fā)現(xiàn)漏洞——如果漏洞被利用或者在黑市交易，對企業(yè)和用戶是極大危害的。

? ? ???既然漏洞被外部發(fā)現(xiàn)不可避免，那么該如何吸引外部安全力量規(guī)范地參與進(jìn)來呢？

? ? ???互聯(lián)網(wǎng)工作組的“負(fù)責(zé)任的安全漏洞披露過程”（可以參考翰海源翻譯的中文版本，微軟提出的類似作法叫“協(xié)作式漏洞披露”）基本是業(yè)界共識。

?

? ? ???具體的做法大致會分為微軟模式和谷歌模式。

? ? ???以微軟為代表的IT企業(yè)主要采用的公告致謝方式。只要漏洞發(fā)現(xiàn)者將漏洞先報告給微軟，微軟就會在每個月的補丁發(fā)布日發(fā)布安全公告致謝漏洞報告者。由于微軟是世界級的企業(yè)，能夠發(fā)現(xiàn)它的漏洞并得到致謝，這個榮譽使得全世界的漏洞報告者樂此不彼。當(dāng)然，時代在進(jìn)步，現(xiàn)在微軟也有了漏洞獎勵計劃。

? ? ???以谷歌為代表的互聯(lián)網(wǎng)公司采用了現(xiàn)金獎勵方式。只要漏洞發(fā)現(xiàn)者將漏洞報告給官方而不直接公開，將會得到一筆價值不菲的現(xiàn)金獎勵。這種模式又有公告又有錢，大大地調(diào)動了報告者的積極性。

? ? ???騰訊安全團(tuán)隊為這兩種模式的企業(yè)都提交過漏洞，從人性的角度體驗，當(dāng)然是后者的效果更好。

? ? ???那么，騰訊的漏洞收集準(zhǔn)備采用哪種模式呢？當(dāng)然是符合中國國情的騰訊特色的SRC啦。

?

【一個劃時代的建議】

? ? ???圈內(nèi)的朋友都知道，TSRC時代之前（2012年5月以前），向我們反饋騰訊業(yè)務(wù)的漏洞，無論多嚴(yán)重的漏洞最終都只有贈送QQ公仔表達(dá)謝意——也有發(fā)布安全公告的時候，我查閱了歷史記錄，總共只有三個公告（TX07040201、TX07092701、TX09040901）。

? ? ???雖然回饋與漏洞報告者的貢獻(xiàn)完全不對等，但是當(dāng)時整個行業(yè)都是這樣的，而且黑客們總有一種俠義精神，發(fā)現(xiàn)漏洞通知廠商似乎本身就是一種俠義之舉，廠商的簡單感謝似乎也是合情合理的。

???????直到2012年3月底，安全應(yīng)急團(tuán)隊在處理完一個外部報告的嚴(yán)重的安全漏洞之后，我們的CTO、大師兄tony先生給我發(fā)了一封Email：“這個漏洞很嚴(yán)重，公仔不足以表達(dá)我們的感謝。我有一個建議，請加我的微信聊”。

? ? ???于是，在微信群里一番討論后，我、熾天使、coolc、ls、tony共同見證了騰訊漏洞獎勵計劃的起源。

?

【磕磕碰碰中成長】

???????接下來行政上就是一系列的特殊審批。

? ? ???同時技術(shù)上我們也著手建設(shè)。沒有開發(fā)、沒有產(chǎn)品、沒有設(shè)計、沒有運營，這些職位我們都自己頂著（什么都懂一點，生活會精彩一點），TSRC一期的系統(tǒng)開發(fā)及與內(nèi)部安全工單系統(tǒng)對接工作都是harite完成的，產(chǎn)品、網(wǎng)頁設(shè)計、文案話術(shù)、處理流程、微博、博客文章大部分都是我和harite做的。

?

? ? ???下面兩個圖就是TSRC的漏洞報告處理流程。其中的復(fù)查程序是后面優(yōu)化迭代增加的功能。

?

?

? ? ???比較核心的在于TSRC漏洞報告系統(tǒng)打通了內(nèi)部的漏洞工單系統(tǒng)，一經(jīng)確認(rèn)的漏洞就會自動同步到工單系統(tǒng)驅(qū)動業(yè)務(wù)修復(fù)，修復(fù)后會自動同步狀態(tài)到TSRC漏洞報到系統(tǒng)反饋給報告者復(fù)查。

? ? ???說實話當(dāng)時心里沒底，畢竟TSRC是業(yè)內(nèi)第一家企業(yè)自建漏洞收集平臺，萬一平臺建好了沒人來報漏洞怎么辦？萬一同時來了無數(shù)個漏洞怎么辦？萬一被競爭對手坑了怎么辦？萬一……

???????一系列小步快跑敏捷開發(fā)之后，騰訊漏洞報告平臺于5月20日邀請了一些白帽子內(nèi)測，5月31日正式上線。

?

?

???????比較欣慰的是，項目一上線就取得了不錯的效果，大部分白帽子們對這個企業(yè)自建漏洞報告平臺的模式也比較認(rèn)同。2012年6月就有38位白帽子報告了上百個漏洞，其中不乏嚴(yán)重漏洞。這里還是非常感謝當(dāng)時支持我們的朋友，如果沒有大家的支持，TSRC肯定很難走到今天。感謝！

???????接下來幾個月，漏洞數(shù)也一路攀升，7月176個，8月280個……這還是最終確認(rèn)為漏洞的數(shù)量——還有更多確認(rèn)不是漏洞的報告（數(shù)倍于確認(rèn)）。漏洞報告直接關(guān)聯(lián)到短信、微信，每天都聽到我們幾個人的手機滴滴響個不停。人力嚴(yán)重不足，頂著，每天除了其他工作，我們幾個都要處理好些漏洞。更可怕的是每個月寄送禮物的時候，快遞單都要自己手工填，每月五十個左右，手都快寫廢了（后來實現(xiàn)了一鍵直接連接EMS，再也不用手寫快遞單了）。

? ? ???跟所有的產(chǎn)品一樣，建設(shè)完成只是一個開始，關(guān)鍵要靠運營。TSRC建設(shè)運營的十六字箴言是：小步快跑，大膽試錯，溝通為王，以德服人。

???????前期由于沒有規(guī)則，經(jīng)常出現(xiàn)漏洞評分的爭議。改！于是我們很快發(fā)布了《騰訊外部報告漏洞處理流程》并且不斷更新，現(xiàn)在都還在維護(hù)更新。

???????然后又是因為跟白帽子溝通不暢，產(chǎn)生摩擦。改！于是增加了評論功能。發(fā)現(xiàn)還是不夠。再改！又增加了一鍵QQ聯(lián)系的功能。

???????然后又發(fā)現(xiàn)有些漏洞推送到業(yè)務(wù)修復(fù)后，沒有修復(fù)徹底，又會被外部發(fā)現(xiàn)。改！于是增加了“報告者確認(rèn)修復(fù)”的流程。

???????……

???????就是在這種不斷迭代的運營過程中，TSRC形成了現(xiàn)在的框架。

? ? ???下圖是統(tǒng)計的這幾年騰訊和幾個大型友商在烏云漏洞報告平臺上的漏洞數(shù)量，可以看到，2012年騰訊位居“漏洞之王”，2013年已擺脫這個“桂冠”。

?

? ? ???再來看看騰訊的外部發(fā)現(xiàn)漏洞數(shù)量趨勢（來源主要是TSRC和烏云漏洞報告平臺）。

?

? ? ???我們可以看到，TSRC的漏洞獎勵計劃啟動后，報告的漏洞數(shù)量突飛猛進(jìn)（一度讓我們震驚。SRC收集的漏洞越多，越說明企業(yè)的安全體系需要優(yōu)化），2013年數(shù)量達(dá)到頂峰，但2014年終于將漏洞數(shù)量收斂——這幾年團(tuán)隊是做了很多努力的，終于看到效果了。

?????? 2013年1月，網(wǎng)易也推出了漏洞報告平臺。接著京東、百度、阿里等都相繼推出，SRC模式基本被大型互聯(lián)網(wǎng)企業(yè)接受并且如火如荼地開展。這一年可以稱為“SRC元年”。

???????現(xiàn)在我們可以看到，隨著安全行業(yè)的發(fā)展，像深信服、國家電網(wǎng)、中興（中興特別提到參考了TSRC，讓我們小小驕傲一下吧）、聯(lián)想這樣的傳統(tǒng)企業(yè)都開展了“漏洞獎勵計劃”（見附錄），相信未來還有更多的企業(yè)SRC出現(xiàn)。

?

【思考：溝通為王，以人為本】

? ? ???漏洞的獎勵模式與過去的俠義模式最大的區(qū)別就是現(xiàn)在漏洞報告者是利益驅(qū)動的（這也沒有錯，王陽明心學(xué)早就說過“天理即人欲”），漏洞評分會直接影響收益，所以漏洞評分要特別謹(jǐn)慎，不然會引起爭議。

? ? ???早期我分析過TSRC惹出爭議的所有問題，發(fā)現(xiàn)80%以上都是跟報告者的溝通問題。換句話也就是說只要溝通得當(dāng)，這些爭議是不會出現(xiàn)的。

? ? ???廠商和漏洞報告者對同一個漏洞的評級不一致是很正常的，所以這個時候就要充分溝通。所以TSRC在漏洞處理的時候增加了評論功能，但是后來又發(fā)現(xiàn)通過評論溝通起來太慢仍然有問題，于是又增加了一鍵QQ聯(lián)系的功能。對于不怎么使用即時聊天工具的報告者，那就想辦法要到電話號碼（郵寄禮品的時候也需要電話號碼）。

?

???????如果報告者對處理流程有異議，還可以繞過當(dāng)前漏洞處理人員一鍵QQ聯(lián)系TSRC首席運營官溝通；如果仍然有異議，可以聯(lián)系到首席執(zhí)行官（嘿嘿，表誤會，是TSRC的CEO）；仍然無法達(dá)成一致的，可以邀請雙方認(rèn)可的業(yè)界大牛一起來進(jìn)行判斷。

? ? ???所以，我認(rèn)為溝通是SRC運營過程的重中之重——與人的矛盾解決了，其他都好說了。

? ? ???漏洞報告平臺的核心是上面的漏洞報告者，沒有人給你報漏洞，你的平臺有什么意義呢？所以平臺粘性很重要。

? ? ???怎么提升平臺粘性？獎勵額度是一方面，另外你要讓報告者樂于到你的平臺來。其實就可以看作一個垂直細(xì)分領(lǐng)域的社區(qū)類產(chǎn)品，這個產(chǎn)品運營模式可以多摸索。

? ? ???早期我們推出了虛擬的企鵝勛章用以獎勵做出突出貢獻(xiàn)的漏洞報告者，當(dāng)時還夸下還說說要實體化，現(xiàn)在我們真的制作了實體的企鵝勛章。下圖是設(shè)計稿之一。

?

?

【思考：不僅僅是漏洞收集平臺】

???????若干企業(yè)的SRC建立后，我見到一些企業(yè)的SRC只是收集外部漏洞（更有甚者只是一個擺設(shè)），我認(rèn)為這是不夠的（知道我的標(biāo)題為什么叫應(yīng)急響應(yīng)中心建設(shè)了吧）。

? ? ???SRC本身就是企業(yè)的一個窗口，傳遞企業(yè)對安全的態(tài)度，在這個框架之下，SRC要承擔(dān)更多的工作。

?????? SRC一個很直接的功能就是內(nèi)部安全系統(tǒng)的試金石。稍具規(guī)模重視安全的企業(yè)肯定有自己的安全團(tuán)隊和系統(tǒng)，那為何還會被外部發(fā)現(xiàn)漏洞？一定是相關(guān)團(tuán)隊和系統(tǒng)存在這樣那樣的疏漏所致。

? ? ???接下來就是要分析和改進(jìn)。TSRC的每個漏洞都會復(fù)盤，找出和修復(fù)相應(yīng)的團(tuán)隊和系統(tǒng)的疏漏。漏洞報告者幫助騰訊發(fā)現(xiàn)漏洞的同時也在優(yōu)化著騰訊的安全系統(tǒng)。

? ? ???下圖就是針對Web漏洞復(fù)盤后發(fā)現(xiàn)的騰訊漏洞掃描器系統(tǒng)的問題及優(yōu)化方案以及歷年來從TSRC漏洞中收獲到的優(yōu)化點數(shù)量（這個數(shù)據(jù)趨勢和外部漏洞數(shù)據(jù)趨勢基本吻合）。

?

?

???????另外就是平臺上的漏洞報告者可以換一個相對第三方的視角來檢驗我們的安全系統(tǒng)。比如騰訊自研的WAF上線前就讓漏洞報告者進(jìn)行了專門的繞過測試，發(fā)現(xiàn)了一些問題，效果非常贊。這篇文章《WAF之SQL注入繞過挑戰(zhàn)實錄》就是當(dāng)時WAF繞過挑戰(zhàn)的一些總結(jié)——這樣的活動即增加了用戶粘性，又優(yōu)化了系統(tǒng)。

???????現(xiàn)在安全行業(yè)開始受到重視，高級安全人才急缺，SRC是絕佳的人才招聘渠道。我們團(tuán)隊的部分實習(xí)生、應(yīng)屆畢業(yè)生和社招人員都曾是TSRC上優(yōu)異的漏洞報告者，TSRC的現(xiàn)任負(fù)責(zé)人flyh4t也曾是TSRC的漏洞報告者。

?

?????? SRC還要承擔(dān)企業(yè)的安全影響力輸出，TSRC也會在官網(wǎng)分享一些騰訊安全建設(shè)方面的經(jīng)驗和工具。不過目前來看做得還不夠（有人在群里說騰訊安全不分享，不過欣慰的是馬上有另一個非騰訊的人說騰訊是有分享的。感謝支持啊），未來肯定還會更多。后續(xù)flyh4t還計劃把優(yōu)質(zhì)漏洞報告里的思路提煉出來發(fā)在博客里，供大家切磋，共同提高。

? ? ???除了自身企業(yè)的漏洞，SRC還可以做得更多。以O(shè)penSSL心臟出血、Bash Shell破殼漏洞為典型案例，一些基礎(chǔ)組件的安全漏洞對互聯(lián)網(wǎng)企業(yè)的影響很大，所以TSRC也推出了“互聯(lián)網(wǎng)生態(tài)安全漏洞獎勵計劃”（The Security Hero Project），將漏洞獎勵的范圍擴(kuò)大到基礎(chǔ)組件，希望能對互聯(lián)網(wǎng)安全有點幫助。

?

【思考：排行制 vs 兌換制】

? ? ???早期的幾個月，考慮到如果按漏洞個數(shù)發(fā)獎，有經(jīng)費不足的風(fēng)險，所以我們采用了“排行制”，即對每個月的白帽子進(jìn)行積分排序，按等級贈送禮品（iPad、手機、QQ公仔等實物）。下圖就是2012年10月排行制下獲得禮品規(guī)則：

?

???????過了幾個月，排行制的弊端就顯現(xiàn)了：報告者無法得到喜歡的東西。這等于嚴(yán)重打擊了漏洞報告者的積極性。那不行，得改！

???????于是“兌換制”誕生了。也就是通過漏洞的評分獲得相應(yīng)數(shù)量的金幣，報告者可以使用這個金幣去積分商城自由兌換物品。仍然為了防止破產(chǎn)，上線禮品的時候，我們通過簡單的經(jīng)濟(jì)學(xué)手段利用金幣-人民幣兌換系數(shù)來控制禮品的“通貨膨脹”。不過一段時間后發(fā)現(xiàn)經(jīng)費還是足夠的，同時白帽子普遍反映挖騰訊漏洞難度提高了，我們就逐步調(diào)大了這個系數(shù)。

? ? ???這就等于是讓市場來決定漏洞價值。如果漏洞越少越難發(fā)現(xiàn)，單個漏洞的獎勵越貴。在內(nèi)部的一次討論會上，我們笑稱等以后一個騰訊的反射型XSS漏洞都獎勵500美金了，就說明騰訊安全做得不錯了。也有很多朋友吐槽騰訊獎勵不如谷歌、Facebook，我的答案還是市場來決定漏洞價值，現(xiàn)階段還沒有到一個騰訊漏洞500美金的時候。

???????之前我們擔(dān)心直接獎勵現(xiàn)金對行業(yè)有負(fù)面影響，不過看到其他平臺也用現(xiàn)金，業(yè)界比較接受，后來TSRC也有了直接的現(xiàn)金獎勵，今年還增加了金幣直接兌換現(xiàn)金功能。

?

【思考：江湖險惡，小心炒作】

???????自從PR介入安全行業(yè)以來，普通安全問題可能會被競爭對手炒作，SRC作為直接處理安全問題的官方團(tuán)隊，一定要小心謹(jǐn)慎。

???????有朋友吐槽過騰訊對于安全問題的官方答復(fù)一律是“非常感謝您的報告。這個問題我們已經(jīng)確認(rèn)，正在與業(yè)務(wù)部門進(jìn)行溝通制定解決方案。如有任何新的進(jìn)展我們將會及時同步”。這個答復(fù)是我們內(nèi)部討論改進(jìn)過多個版本的安全問題官方標(biāo)準(zhǔn)答復(fù)口徑，不過這不是因為敷衍，而是為了避免被炒作。

? ? ???早些時候，我們的工作人員在烏云漏洞報告平臺答復(fù)安全漏洞的時候，由于話術(shù)過于隨意，發(fā)生了被競爭對手炒作的情況。

? ? ???2013年TSRC發(fā)布過一個年度報告，公布了上一年度TSRC處理的漏洞及獎勵情況，然后當(dāng)天晚上就出現(xiàn)了利用報告里的數(shù)據(jù)指責(zé)騰訊漏洞多、獎勵少的軟文。

? ? ???TSRC郵箱曾經(jīng)收到過某公司的郵件，稱要來合作，TSRC答復(fù)說非常歡迎但是這事不是我們的職責(zé)所以我們轉(zhuǎn)給某某部門了。結(jié)果第二天就出現(xiàn)了指責(zé)騰訊對于安全問題多次催促還推諉的軟文。

? ? ???類似的血淚教訓(xùn)還有幾個，總之企業(yè)SRC對外的話術(shù)口徑一定要謹(jǐn)慎，要注意避免被競爭對手利用。

?

【思考：云SRC】

???????我們可以把SRC看成一種安全能力或者產(chǎn)品，由一個SRC服務(wù)商來為沒有資源建設(shè)SRC的企業(yè)整合資源提供SRC系統(tǒng)，這就是云SRC了。就跟我們普通用戶自己沒有資源搭建個人博客而使用新浪博客一樣。

???????云SRC是為企業(yè)提供免費的漏洞收集服務(wù)與平臺，盈利點是為平臺上的企業(yè)提供安全增值服務(wù)的方式（比如漏洞修復(fù)方案咨詢、安全加固甚至是安全情報，具體的增值服務(wù)方式還可以再摸索）。

? ? ???我理解的云SRC是免費提供給所有有需要的廠商的漏洞信息私有的服務(wù)，所以不論是傳統(tǒng)的第三方漏洞報告平臺（烏云或者補天）還是新興的安全眾測平臺（烏云眾測、漏洞盒子、Sobug、威客眾測）都不能算是云SRC。某些眾測平臺的廠商常駐模式有點那個形式。

???????隨著信息安全得到重視，未來各種企業(yè)特別是試圖進(jìn)軍互聯(lián)網(wǎng)業(yè)務(wù)的傳統(tǒng)企業(yè)肯定是需要有自己的SRC的，但是大部分企業(yè)又未必有資源自己來做，所以我認(rèn)為云SRC這種服務(wù)是值得嘗試的。

?

【思考：xSRC聯(lián)盟】

?????? xSRC是指所有的SRC，這里的“x”是通配符，代表一個或多個字符，相當(dāng)于正則里面的“*”。記得前幾個SRC出來的時候，就有人戲言xSRC太多，26個字母不夠用了，得擴(kuò)大x的位數(shù)。

???????所謂xSRC聯(lián)盟就是企業(yè)的SRC有共同的需求而聯(lián)合起來交換資源合作共贏的聯(lián)盟。

? ? ???這里可以合作的事情比較多：漏洞收集平臺相關(guān)的統(tǒng)一帳號體系、漏洞評分標(biāo)準(zhǔn)、經(jīng)驗分享；業(yè)界安全情報共享（有點類似MAPP）；企業(yè)之間的安全問題溝通（漏洞通報/僵尸網(wǎng)絡(luò)通報/攻擊協(xié)查）；安全系統(tǒng)共享……

? ? ???當(dāng)然了，涉及到各家公司的安全團(tuán)隊協(xié)同了，所以以上大部分想法實施起來稍微有點困難。

?

【后記】

???????信息技術(shù)發(fā)展到物聯(lián)網(wǎng)時代，信息安全與我們的生活息息相關(guān)，隨著各企業(yè)對安全的重視增加，可能就會有SRC的需求。這是時代進(jìn)化的一個趨勢，那么SRC的未來該怎么走呢，本文拋磚引玉，與業(yè)界各位同仁一起探討。

?

?

總結(jié)

以上是生活随笔為你收集整理的安全应急响应中心 Security Response Center（src）简介的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。