想为这个行业做点什么——可能是每一个创业公司诞生最初的心声,太多的雄心壮志,迫切地需要改变这个行业现有的模式。然而未必每一份选择都是正确,每一条改变之路都是平直通顺。
但,假如每次都是循规蹈矩,那么规则不会被打破,改变就不会被产生,SOBUG安全平台在7月的深圳,宣布要做“中国版的HackerOne” 。
#中国版的HackerOne意味着什么?#
对于白帽子:
1.SOBUG所有项目均得到厂商授权,合同将展示在项目详情中,保平台所有的安全测试环节都在可控范围内,为白帽子的安全测试提供合法基础。SOBUG的初衷是希望通过这一保障制度,做到让白帽黑客赚钱有理有据,同时也为厂商最为重视的信息安全加上一把法律之锁。
2. 通过不断完善产品,将SOBUG打造成为一个漏洞协作平台,厂商和白帽的协作会让信任加深,同时,白帽也会得到更多的机会,可能有来自于企业伸出的橄榄枝,更丰厚的赏金,以及来自厂商的尊重与感谢。
3.负责任的漏洞披露,SOBUG安全平台尝试制定安全漏洞的披露流程,在厂商授权的情况下,会逐步披露一些有价值的安全漏洞,让平台用户有更多的学习机会。
对于厂商:
1.众测平台的最大价值是发现更多的安全漏洞,SOBUG安全平台不做单一的漏洞输出渠道,而是通过尽可能多的白帽集群尽快发现并解决各种安全问题。
2.漏洞的发现不是其生命周期的最终闭环,彻底解决并让它不再出现才是真正意义上的问题终结。SOBUG会将安全服务延续到安全问题的后续处理中,让漏洞的搬运,协作,解决成为一套标准流程,让更多的厂商可以顺畅地参与其中。
3.SOBUG将建立完整的ROI体系,确保漏洞体系中的每一个环节,都可通过各种数据纬度去证明服务价值,让数据运营真正意义上地去驱动安全变化。
对于生态:
1.SOBUG安全的初衷是为了让客户变得更安全,SOBUG会将漏洞后处理流程中的每一个环节开放给生态合作伙伴,共享安全圈的整个流程。
2.引入红蓝军对抗,在动态的对抗中不断倒逼产品的升级和服务的品质。
对于保障:
未来漏洞悬赏的风险可以被彻底覆盖:假如SOBUG的白帽子因为非主观恶意行为导致企业的损失,将由美亚保险进行理赔;假如白帽子是恶意的,SOBUG不会原谅并将积极配合公安机关调查取证;而当事实不明确,处于中间地带的白帽子,将由SOBUG合作的瀛合律师事务所提供咨询和辩护等各种法律上的支持。
正是因为重重考量与详尽的规划,4月底,SOBUG漏洞悬赏新模式顶住各方压力正式上线。近三个月的运行时间过去,当初外部不解的声音渐弱,而理解支持的人却渐渐多了起来。来自厂商、同行,以及媒体的肯定,成为了SOBUG新模式的有力注解。
容易的事并非没有尝试的价值,但是,路难走的本身却证明了它必须要走的意义。SOBUG团队花大力气去做一个漏洞悬赏平台,只不过是希望国内的安全行业可能因为这一份努力而变得开放透明一些。
接下来,我们将从多个维度对本次发布会进行介绍,让大家对SOBUG和伙伴们做了什么以及未来怎么去驱动安全生态有一个了解:
#SOBUG心电图#
冷焰向到场嘉宾讲述了自己创办SOBUG的经历,包括同行的竞争,发展方向的变更,资金链的断裂等等,但困难过后沉淀下来的却是对商业模式的冷静思考和对安全市场的重新预判。“我非常享受创业这个过程”,冷焰表示,SOBUG即使跌倒了,还会站起来继续往前走。后面团队会花更多的时间在规则的制定和模式的完善方面,把漏洞悬赏平台做得更好。
#SOBUG的产品模式驱动论#
设计
在一个产品基因很强的团队,用产品改变我们能改变的,就是我们日常工作。设置规则,捋顺流程,琢磨人性,我们希望通过产品上的各种策略解决很多问题。比如那个漏洞分发功能,就是为了让漏洞搬运工更快乐,顺便提升漏洞传递效率。产品本身不能让企业没有漏洞或者漏洞变少,但是能让企业和黑客顺畅的协作,就离这个目标更近一点。
生态
安全行业的每个细分领域都有很多优秀的创业公司和产品,但彼此孤立者众,各自为战者众,形成闭环者寡。我们愿意把漏洞闭环流程的各个环节和所有客户开放给合作伙伴,让产品和产品,产品和服务之间有数据流动,能够彼此协作。
(为了避免误解必须声明,配图只是我们预期中合作伙伴的一小部分,并不说明已达成合作或者排除没有出现logo的合作伙伴。安全创业公司很多,我们希望一家一家仔细聊,也欢迎主动来找我们聊。)
保险
未来安全服务的商业模式,会不会进化为保险?大胆的设想需要一步一步践行,引入保险和律师将风险彻底闭环只是第一步。10个人创业公司+6个月的努力=“也许是”中国第一个黑客安全保险。终于可以告诉大家,未来漏洞悬赏的风险可以被彻底覆盖:假如白帽子因为非主观恶意行为导致企业的损失,将由美亚保险进行理赔;假如白帽子是恶意的,SOBUG不会原谅并将积极配合公安机关调查取证;而当事实不明确,处于中间地带的白帽子,将由瀛合律师事务所提供辩护和咨询等各种法律上的支持。
#抛下了重磅炸弹的神秘伙伴#
发布会上,360SRC的负责人白嘎力也将一枚重磅炸弹投在了现场:360 SRC的漏洞披露计划。他首次公开了自己对企业SRC的新思考,并提出了360 SRC的未来服务重心:
漏洞渠道拓展
360 SRC将把自建平台+第三方平台(包含SOBUG)作为漏洞收集渠道获取漏洞。
漏洞披露计划
宣告未来将公开已修复的漏洞详情,并参照CVRF(通用安全漏洞通报框架)实行负责任的漏洞披露计划,同时为白帽子漏洞申请通用漏洞编号。
这样的服务重心不仅仅能让白帽子从漏洞中获得学习、证明自己的机会,也表达了360SRC对于用户的负责任态度,毕竟公开而不是遮掩才是化解用户疑虑,预防公关危机的最佳方式。
与此同时,360也将逐步完善漏洞评估标准,针对不同的漏洞类型应用不同的评估标准,将360SRC的业务扩大化与标准化。未来SOBUG也将同360 SRC一起,探讨共同建立漏洞披露标准的可能性,共同推进安全圈生态建设。
从360 SRC的演讲中,我们可以看到一个让公众正面感知自己开放态度与社会责任的努力的企业典型。漏洞悬赏和漏洞详情公开,其实是一道保护伞,既能够保障数据安全,又能避免公关危机的发生。这不会增加任何风险,相反会成为一个企业的加分项,企业更应该关注的是如何在漏洞被利用前尽早发现并修复它。这点与SOBUG在本次发布会的理念不谋而合。
#SOBUG和伙伴们#
301
在发布会上,众安天下创始人301从创业者的角度讲述了自己对创业过程、企业安全、对漏洞的思考。同时基于自己的创业感悟提出了观点:
1、纯价值驱动,安全行业的开放趋势正在到来
301提出,安全行业的变革速度非常快,在互联网经济的背景下,传统的依靠资源去做渠道的方式会逐渐面临更加开放化安全企业的竞争。
2、以服务为导向的商业模式是安全经济的支撑
帮助客户去解决问题是安全行业的价值所在,而这样的价值需要以服务去解决。硬件仅仅是传递服务价值中的一个工具,在技术壁垒不再高高在上的时代,服务才是能够让企业感知到价值的最快方式。安全即服务。
呆子不开口+301+冷焰
在冷焰与301的圆桌讨论中,由呆子不开口主持。呆子不开口秉承了他一贯的诙谐风格,通过网友的几个问题,引导冷焰与301回答他们各自对漏洞、对安全行业创业的看法。在讨论中,大家对“白帽子更适合物质还是精神奖励?”、“白帽子发现网站漏洞后是否要呼吁大家抵制该网站?”以及“如何说服小公司进行安全投入?”等问题进行了深入交锋,大家也从各自角度对问题作出了解读。
京东东家投资部副总监 李龙贻
作为SOBUG的投资方代表,京东众筹投资负责人李龙贻先生也来到了现场为SOBUG站台。他为SOBUG拿到新一轮融资表示祝贺,并指出SOBUG能够在京东股权众筹平台上线,并且能够成功众筹,超募250%之多,这并不是那么容易的一件事情。这代表了投资人对于SOBUG平台新模式的信心,也从侧面肯定了SOBUG模式的成长潜力。
产品做好不算难,但是让一个产品有温度却显得尤为可贵。作为一个由黑客驱动的安全平台,SOBUG对平台的打磨并非是刻意,而是当关注用户体验成为团队习惯、励炼产品模式成为关键需求,所有高标准的考量都变得顺理成章。
不走套路,SOBUG会把每一步都走得用心踏实,感谢每一份理解与支持。