您的企业SRC专属白帽子已上线——漏洞盒子

美国西部，飞沙走石的旷野上，两个人穿着相似的紧身衣、窄腿裤，脚蹬长统靴，胯边垂着火筒枪，唯一不同的是头戴的宽边帽，一白一黑... ...这样电光火石的对决在网络安全的世界里也是有的，可企业绝不能让业务和数据冒这样的风险，于是考虑从攻防焦点的“漏洞”入手，纷纷成立或者正在成立自己的安全响应中心(Security Response Center,SRC)。

大型企业为此会专门雇佣白帽子黑客来刺探他们的网络、系统和应用程序，以提前发现漏洞。但是，请注意，是“大型企业”，可以说，当前现实的企业SRC的管理情况就如斗象科技联合创始人CTO张天琪所解释的：“对于大企业来讲，资源虽然不是问题，但SRC毕竟不是核心业务，投入有限。而中小企业本身资源就有限，重业务而轻安全是普遍现象，在安全当中的投入更是捉襟见肘，且人员配备不足。”完美世界信息安全部信息安全总监何艺皱眉道：“作为企业SRC负责人，运营好一个SRC是个耗精力、耗资源、耗技术的苦力活” 如此说来，企业的企业SRC管理就像个烫手山芋，扔不得、留不得了？

上海斗象信息科技有限公司联合创始人兼CTO张天琪

漏洞盒子产品经理来勇介绍表示：“针对企业SRC运营成本较高、软件设施不全、宣传效果不好、人员流动性大、平台稳定性不强、团队技术性不强、漏洞响应不够及时等问题，漏洞盒子企业SRC提出了自己的解决方案。”近日，漏洞盒子“拉拢”了信息安全白帽子们，和多个企业的SRC代表齐聚一堂，发布了漏洞盒子企业SRC（安全应急响应中心）。

漏洞盒子产品经理 来勇

关于漏洞盒子，大家都知道他是通过进行漏洞挖掘，为企业用户提供互联网安全测试服务的平台。作为上海斗象信息科技有限公司（斗象科技）旗下安全产品之一的漏洞盒子，其安全测试服务结合了自有安全团队、核心白帽子团队和认证白帽子专家三方面，其中不乏曾供职于阿里、百度等大型互联网公司的优秀技术人员，能够模拟真实环境的黑客进行漏洞挖掘与演练，将产品的安防壁垒不断提高。何艺作为漏洞盒子企业SRC的代表也表示：“漏洞盒子因为拥有白帽子生态资源，他的SRC运营能力具有天然的优势。”

来勇具体从产品、功能特性和对企业信息安全建设的价值及合作模式等方面，介绍了漏洞盒子企业SRC。简单来说，就是企业可以用更低的成本、更简单的运营，将白帽子直接招致麾下，得到更高效的企业SRC服务。

据了解，漏洞盒子企业SRC的具体流程一般是，白帽子在平台提交漏洞后，由平台或企业自行来审核漏洞。企业方面，企业可以自行编辑页面信息，需要在平台公布自己的奖金设置等级及额度，设置授权测试域、运营数据、漏洞规则声明等；平台方面，漏洞盒子企业SRC平台将奖励发放调整到漏洞确认环节，根据漏洞的有效性、级别、报告质量、涉及资产范围等维度进行计算，核实后直接向白帽子发放奖励，整个流程缩短至1~7天，这相较于以往的1~3个月的漏洞审核流程周期有了大幅度的提升。同时平台还进行积分和奖金的排名，以此激励白帽子。此外，平台帮助入驻的企业SRC进行持续性宣传、白帽子KOL管理、线上线下活动策划，日常纳新、留存和促活等活动支持。据悉，目前漏洞盒子平台有效白帽子数量达3万+，月活5千+，累计为企业提供漏洞155865个，平均每天收取漏洞500+。

漏洞盒子企业SRC平台能够很好的回应张天琪所强调的“企业SRC的管理需要‘三分建设，七分运营’”的理念，漏洞盒子企业SRC作为连接白帽子和企业的桥梁，能够为企业提供一站式全托管模式与半托管安全托管服务，帮助企业实现更便捷高效的SRC运营，很好地起到协助企业构建定制化SRC的作用。联想集团安全应急响应中心作为支撑联想集团全球信息安全建设的重要部门，也借本次发布会正式入驻漏洞盒子企业SRC，与漏洞盒子建立长期的战略合作，联想集团信息安全高级经理宋文宽先生代表联想集团，接受了联想集团SRC入驻漏洞盒子企业SRC的授牌。

中国网络安全产业联盟陈兴跃秘书长肯定道：“我个人觉得今天的漏洞盒子企业SRC发布会很创新，它的发布更好的解决了在当前黑客攻击泛滥的情况下，企业网络安全威胁情报所获取的及时性、有效性问题。”国家互联网应急中心运营部李佳副主任总结表示：“漏洞盒子平台推出企业SRC这样的产品和服务，帮助企业建立信息安全威胁信息和情报的搜集渠道，主动地提前和提早感知企业信息安全威胁，做到预防、判断和预先解除，从安全地应急和协调处理地角度，做到了防微杜渐或者说减少了安全危险产生更大地损失。“

       中国网络安全产业联盟秘书长 陈兴跃            国家互联网应急中心（CNCERT)运行部副主任 李佳

漏洞盒子企业SRC的发布促进了网络安全白帽子、企事业单位的互利结合，让企业得到高效的安全能力的同时，也给了白帽子实现自身价值的平台，实现双赢。来勇最后补充：“针对平台宣传，市场团队则会定期策划线上线下活动，日常运营工作得以持续进行、推陈出新；我们本身拥有安全行业的资源和力量，且在漏洞管理和处置体系方面拥有三年的实践经验，未来的投入将会是十足和长久的。”