從一只不被認(rèn)可的“丑小鴨”蛻變成為人人艷羨的“白天鵝”，是每個(gè)初創(chuàng)型企業(yè)的理想。幫這些初創(chuàng)型企業(yè)解決安全問(wèn)題，更好的完成蛻變實(shí)現(xiàn)理想，也是白帽匯安徒生平臺(tái)主要服務(wù)目標(biāo)。趙武說(shuō)，“以安徒生取名，既契合了創(chuàng)業(yè)艱難，但前途美好的寓意，又容易記?！?/span>

安徒生平臺(tái)的LOGO也用了小鴨子的形象。 

趙武，代號(hào)zwell

｜探索與定位

但在項(xiàng)目構(gòu)想之初，平臺(tái)的服務(wù)定位并沒(méi)有這么清晰。平臺(tái)中的技術(shù)架構(gòu)基本上是為大企業(yè)的設(shè)計(jì)的。

如大數(shù)據(jù)技術(shù)、漏洞監(jiān)控技術(shù)、職場(chǎng)管理流量監(jiān)控技術(shù)在BAT、360等大企業(yè)的安全防護(hù)中很常見(jiàn)，但并不適合于中小企業(yè)。而平臺(tái)服務(wù)的定位是Saas模式，大企業(yè)對(duì)公有云的服務(wù)方式比較敏感，而中小企業(yè)一般不會(huì)太介意。 

大企業(yè)通常會(huì)有200人左右的安全團(tuán)隊(duì)做支撐，而初創(chuàng)企業(yè)因?yàn)轭A(yù)算、經(jīng)驗(yàn)等的不足，導(dǎo)致安全能力較差，但被攻擊又是不可避免的。趙武和他的團(tuán)隊(duì)最終決定，將大企業(yè)的這套安全服務(wù)模式，復(fù)制到中小企業(yè)里去，為中小企業(yè)提供一種門檻較低，但在一定方式上有效的安全問(wèn)題解決方案。

雖然整個(gè)項(xiàng)目的規(guī)劃用了近一年的時(shí)間，但從項(xiàng)目啟動(dòng)到完成demo，卻只用了三個(gè)月。 

安徒生平臺(tái)的全名為，安徒生·企業(yè)威脅感知平臺(tái)。SANS 研究院對(duì)威脅情報(bào)的定義是：針對(duì)安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標(biāo)、所收集的用于評(píng)估的應(yīng)用的數(shù)據(jù)集。白帽匯將威脅情報(bào)簡(jiǎn)單的定義為：

誰(shuí)想搞你，誰(shuí)搞到你了，想怎么搞，但凡可能對(duì)企業(yè)安全產(chǎn)生威脅的都是威脅情報(bào)。 

趙武告訴雷鋒網(wǎng)，通常企業(yè)對(duì)自己的資產(chǎn)狀況并不熟悉，這會(huì)導(dǎo)致發(fā)現(xiàn)漏洞威脅后，修補(bǔ)效率很低。

曾經(jīng)有一家巨頭企業(yè)，打一個(gè)補(bǔ)丁用了三天的時(shí)間，就是因?yàn)閷?duì)自己的資產(chǎn)狀況不夠了解。 

為及時(shí)準(zhǔn)確的發(fā)現(xiàn)企業(yè)安全威脅情報(bào)，安徒生平臺(tái)會(huì)先對(duì)企業(yè)的資產(chǎn)做一個(gè)梳理，并打上指紋標(biāo)簽。

安徒生平臺(tái)資產(chǎn)透視頁(yè)面

安徒生平臺(tái)把企業(yè)資產(chǎn)分為IT資產(chǎn)與員工資產(chǎn)兩部分。

凡是企業(yè)中機(jī)器化的設(shè)備，都叫做IT資產(chǎn)，除了服務(wù)器、筆記本、打印機(jī)、臺(tái)式機(jī)這些物理資產(chǎn)以外，網(wǎng)站運(yùn)營(yíng)也屬于企業(yè)可以管理的IT資產(chǎn)。

人員資產(chǎn)就是企業(yè)員工或者客戶的信息。如，有員工會(huì)用公司郵箱注冊(cè)其他的網(wǎng)站的賬戶，一旦其他網(wǎng)站服務(wù)商被入侵，對(duì)企業(yè)信息的泄露也會(huì)造成威脅。

指紋標(biāo)簽就是對(duì)資產(chǎn)服務(wù)進(jìn)行標(biāo)定。

與人的指紋一樣，IT資產(chǎn)也有指紋，就像設(shè)備編號(hào)，企業(yè)安全中的部分漏洞來(lái)源就是資產(chǎn)開(kāi)放的一些端口或服務(wù)。

｜大數(shù)據(jù)從何而來(lái)

做威脅情報(bào)離不開(kāi)大數(shù)據(jù)。安徒生主要通過(guò)Noesec大數(shù)據(jù)安全協(xié)作平臺(tái)與社交化的威脅情報(bào)收集平臺(tái)兩個(gè)渠道獲取大數(shù)據(jù)。

在研發(fā)安徒生平臺(tái)之前，白帽匯創(chuàng)立了一個(gè)Noesec大數(shù)據(jù)安全協(xié)作平臺(tái)。平臺(tái)會(huì)把企業(yè)對(duì)外公開(kāi)的所有零零散散的企業(yè)資產(chǎn)信息自動(dòng)化抓取，進(jìn)行積累匯總后，形成了一個(gè)龐大的資產(chǎn)體系。 

國(guó)內(nèi)的黑產(chǎn)地下交易中心主要是論壇與QQ群，安徒生會(huì)通過(guò)發(fā)動(dòng)白帽子用監(jiān)控QQ群與數(shù)據(jù)論壇的方式及時(shí)獲取到服務(wù)相關(guān)企業(yè)的安全威脅信息。趙武介紹道：

我們會(huì)從白帽子那里第一時(shí)間獲取到正在被販賣的企業(yè)數(shù)據(jù)情報(bào)，具體泄漏了哪些數(shù)據(jù)我們不知道，但我們對(duì)獲取到的情報(bào)也有一個(gè)評(píng)判標(biāo)準(zhǔn)，我們會(huì)拿著這個(gè)數(shù)據(jù)去跟企業(yè)做一個(gè)溝通，讓企業(yè)自己去辨別。

白帽匯還做了一個(gè)只針對(duì)Http協(xié)議、Web 應(yīng)用層的“全球網(wǎng)站檢索”。通過(guò)收集全球web服務(wù)指紋，可以很容易標(biāo)識(shí)出一個(gè)網(wǎng)站在哪個(gè)端口，使用哪種 Web Server，哪種編程語(yǔ)言，以及哪種開(kāi)源框架（如：CMS等）。也可以找到全球有哪些在線的 Squid 代理服務(wù)器，有哪些網(wǎng)站使用了 Jquery，有哪些在線H3C路由器，哪些網(wǎng)站使用了GeoTrust證書(shū)，哪些網(wǎng)站掛了某一種木馬，哪些網(wǎng)站使用了CloudFlare的 CDN 等。

安徒生平臺(tái)威脅分析頁(yè)面

通過(guò)大數(shù)據(jù)獲取到企業(yè)的威脅情報(bào)信息后，安徒生平臺(tái)會(huì)對(duì)情報(bào)進(jìn)行分析，對(duì)漏洞的影響程度以及利用難度進(jìn)行劃分為高危、中危、低危四個(gè)等級(jí)，并為企業(yè)提供修復(fù)意見(jiàn)。

｜童話中的現(xiàn)實(shí)

目前安徒生平臺(tái)的demo已通過(guò)網(wǎng)站的形式上線，并在一些熟識(shí)的企業(yè)中進(jìn)行試推與打磨，然后根據(jù)接受試推的企業(yè)與業(yè)內(nèi)人士的意見(jiàn)再進(jìn)行調(diào)整與改進(jìn)。但趙武認(rèn)為，

目前白帽匯的產(chǎn)品研發(fā)進(jìn)度仍然過(guò)慢，雖然技術(shù)團(tuán)隊(duì)已經(jīng)擴(kuò)充到了20人，之前也積累了一些產(chǎn)品經(jīng)驗(yàn)，但坑只能一個(gè)一個(gè)去填，急不得。

而云服務(wù)的模式，需要強(qiáng)大的服務(wù)器與帶寬來(lái)支持，這也是一筆很大的成本。

至于安徒生平臺(tái)什么時(shí)候開(kāi)始向外推廣，趙武表示還不著急。

一方面，現(xiàn)在產(chǎn)品還沒(méi)有達(dá)到一個(gè)很好的狀態(tài)?，F(xiàn)階段企業(yè)只要提供域名，就可以自動(dòng)化監(jiān)控威脅情報(bào)。但這只是外部威脅情報(bào)，要布置一些流量性的企業(yè)性探針到內(nèi)部去，這可能是一個(gè)很大的坎。企業(yè)會(huì)不會(huì)接受，以什么樣的形式接受，都需要再去討論。日志分析的功能也還沒(méi)有添加進(jìn)去，機(jī)器學(xué)習(xí)的功能還在積累。

另一方面，對(duì)于安徒生平臺(tái)的推廣方式以及盈利模式也還在探索中。只獲得認(rèn)可，并不代表愿意為你的產(chǎn)品消費(fèi)。雖然盈利不是最終目標(biāo)，但愿意消費(fèi)是對(duì)產(chǎn)品價(jià)值認(rèn)同的表現(xiàn)。

在安全圈打拼了許多年，對(duì)做產(chǎn)品趙武也有著自己的心得，跑的越快有可能死的越早，小步慢跑，穩(wěn)扎穩(wěn)打就好。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。