区块链应用

Buglab(BGL)以太坊区块链上的网络安全渗透测试

Buglab 来源:区块网 2018-06-11 09:16

Buglab 将提供一个独特、有竞争力、激励性和易于使用的平台,以应对这一普遍而日益增长的业务需求。Buglab 将辅助企业(无论是 IT、金融服务还是零售企业)来识别和缓解他们可能并不知道(但应当知道)的网络安全鸿沟。
Buglab 平台将那些有信息安全需求的各种组织链接起来,并在一个激励性环境中提供一个认证网络安全渗透测试人员社区,其中,测试人员在发现系统漏洞(依据严重性和潜在影响排名)时会获得奖励。这是以一场时间争夺赛完成的。重要的是,找到独特漏洞的排名要高于仅仅制作一份问题清单。
Buglab 平台的核心功能
Buglab 平台使客户得以使用大量渗透测试人员或从已知公司选择一个经验证的团队。团队成员数量不得少于五名渗透测试人员。
根据您组织的特定需求,可提供各种客制化选项。接下来将重点展示部分预期功能。
公开竞赛
一旦公司提供基本信息并启动竞赛后,社区随即会收到一份公开邀请以参与竞赛。
内部竞赛
客户也可以从社区选择指定数量的渗透测试人员,或从一家已知网络安全公司选择一个经验证的团队来完成挑战。
筛选器
客户可选择在内部挑战期间通过使用不同的筛选器来挑选渗透测试人员。其中包括国家/地区、评分、技能组合等。
分类系统
报告的漏洞在进入客户主面板之前会经过我们的评分系统,以识别重复内容。客户保证只会获悉相关的提交内容。
报告
公司收到有关其安全竞赛的报告。此功能概述每次竞赛的表现,并允许客户对其安全状态和资产的进展进行图形化的对比。
客户管理
公司可从三种类型的竞赛管理(基础版、专业版和企业版)中做出选择。若选择后者,则客户负责对报告进行整理、分类和分级。
调解
当客户选择自行管理其挑战时,来自社区的渗透测试人员可以征求 Buglab 的调解。当渗透测试人员认为评分或验证不准确时,就可能需要这种调解。
Buglab 团队可获得有关异议的详细原因并做出公平评估。
排行榜
一个主面板对来自社区的渗透测试人员依据其经验和在平台上的结果进行排名。这为最好的渗透测试人员提供更大的曝光度,并可更轻松挑选参与者进行内部挑战。
聊天
每一份漏洞报告都是与渗透测试人员开启对话及获得他们帮助修复漏洞的机会。
固定伙伴
Buglab 将在企业层面上验证修复已得到落实。
定义需求
潜在使用案例的清单非常长。使用场景可能包括揭露恶意 SQL 注入,这种攻击会将数据库内容发送给黑客。系统可能会有绕过身份验证的漏洞。敏感的公司数据可能是非加密的。文件上传可能未受保护。用户会话可能受制于被恶意实体接管。也许漏洞相对直接:例如,公司拥有的登录安全性可能不足。Buglab 策略以一种高性价比的方式应对这样和那样的漏洞,以对付网络犯罪及其对客户底线的影响。
该平台的设计针对网络犯罪威胁提供多种解决方案。使用专业版或企业版方案可让客户获得内部团队的访问权。例如,取决于数据的敏感性,某次渗透测试竞赛可能对所有人都是关闭的,只对一个预选的团队开放。又或者,某商家可能选择其他套餐,以便使用开放式竞争模式来解决系统漏洞。
无论哪种使用案例,我们的设计对于识别 IT 漏洞均提供奖励,同时构成解决这些问题的基础设施。因为它采取竞赛的形式,客户得以持续访问渗透测试结果,因此这是实时和高性价比的。
Buglab 借助其评分系统,激励每一名研究人员抢先揭露最大数量的重大漏洞,并基于各自的等级获得最高评分。这种类型的评分系统鼓励社区以有效、彻底和高效的方式行动。研究人员给出的规避漏洞的建议也将传达给客户。渗透测试人员或Buglab 自己可直接与客户共同进行补救。
取决于数据的敏感度,可提供若干隐私选项。若公司需要限制信息访问权限,则可以选择客户管理的竞赛。即便是在罕见的调解情况下,Buglab 也无法查看与案例有关的受保护漏洞详情,除非受到明确邀请。
对于可能需要一个内部团队的网络安全公司来说,其工作流程可能类似于如下流程:
1. 渗透测试人员上传经验、就业履历或其他相关信息的证明。
2. 点击应用程序中的“创建团队”。需要至少五名成员才可进行。
3. 邀请同样需要上传身份证件、证书和经验证明的用户。
4. Buglab 团队审核提交内容。
5. 若项目获得接受,则公司可以邀请获得批准的整个团队。竞赛已通过 Buglab 平台激活。
通过提供竞赛,Buglab 通过收取一笔固定价格的费用(若未发现漏洞则保证退款)对用户成本封顶。在挑战或竞赛的框架内,社区渗透测试人员独立行动(虽然是从事同一个项目),从而运用各自的多元化技术技能来查找和曝光安全瑕疵。他们因此可以在短时间内发现大量漏洞。这是一种揭露网络威胁的高效模式。
实时报告
客户公司员工随着竞赛实时呈现结果而跟进其动态,以查看报告的漏洞和纠正建议。他们将可以与渗透测试人员沟通,以便跟进。平台还可根据您公司的自行决定而集成其他报告工具。
通过竞赛主面板可快㏿访问研究人员的进展、揭露的漏洞类型以及头部贡献者。

主面板还可以直观的方式实现实时互动,以便客户在研究人员或 Buglab 团队的帮助下解决漏洞。

竞赛
客户在平台上注册并提供自己的信息,包括其产品和服务。然后通过使用简单而用户友好的界面,签署一份竞赛合约,选择其规则。
客户可以个性化设置竞赛的机密性1、他们希望的管理类型以及竞赛成本,这取决于选定的计划方案和可选的奖金。若有必要,Buglab 团队将与客户互动,以帮助他们设置计划参数。

基于所选择的机密类型,客户随后可以在社区中从一份渗透测试人员名单中进行挑选。Buglab 平台还可通过使用 Buglab 推荐引擎指定合适的匹配者。
挑选可依据若干标准进行,包括渗透测试人员所在国家/地区或他们的技能领域。启动日期始终有您决定。通过使用 Buglab 所提供的方法,渗透测试遵循一个独特的路径,如下图所示。

评分系统鼓励(也就是激励)每一名渗透测试人员抢先揭露最大数量的漏洞并获得最高评分。每一个漏洞都将分配到一个评分。较早发现的问题获得满分。对重复条目的评分会考虑时间戳(以鼓励及早报告重大漏洞)和发现问题的渗透测试人员数量等因素。

竞赛评分
竞赛启动后,我们已注册到 Buglab 的渗透测试人员社区随即会获得通知。我们的国际网络安全渗透测试人员随后直接在Buglab 平台上对解决方案进行分析、测试并返回漏洞报告。当竞赛结束时,Buglab 的角色仅限于使用漏洞时间戳中所述的通用漏洞评分系统 3(CVSS3) 标准进行漏洞评分和分类。渗透测试人员依据其在竞赛中的排名获得报酬。

下方屏幕截图中提供了一个排行榜示例。

若出现争议,一支 Buglab 内部团队可充当调解员,以帮助厘清未解决的问题。例如,若评分有争议或漏洞的有效性有问题,便会发生这种情况。

漏洞时间戳
渗透测试竞赛的结果取决于漏洞报告的确切时刻所对应的漏洞时间戳 (VTS)。
为了能够依据总体评分和时间来奖励最好的研究人员,有必要设立一套评分系统。渗透测试人员某次竞赛的总分等于他们发现某漏洞所获得的所有评分的总和。得益于 CVSS3,对漏洞的评分是基于客观和可度量的标准。
相互独立工作的若干渗透测试人员可以发现同一个漏洞,并于不同时刻在Buglab 平台上报告,这会导致重复报告。
对于这类情形,研究人员基于他们发现漏洞的速度获得 CVSS3 评分。首先完成者将获得满分,而后来者则将依据其时间排名以及发现相同漏洞的渗透测试人员数量看到自己的分数递减。
● 任何时间戳都无法以欺诈方式合并
● 任何时间戳一经公布便无法修改
● 全部可以供(所有人)查阅
若出现重复,Buglab 可以完全安全的方式,提供对某渗透测试人员指定评分的验证手段,根本不会披露任何敏感信息。
固定伙伴
Buglab 将在企业层面上验证修复已得到落实。Buglab 将尝试再次验证(利用)该漏洞。当被证实为已修复时,一支 Buglab 分析师团队将在平台上对状态进行相应更新。Buglab可以拒绝某次“修复”,以便让公司有机会再次解决该漏洞。公司可获得至多五次解决该漏洞问题的尝试。
在整个挑战期间,公司可以与渗透测试人员聊天并访问报告,他们可以实时落实纠正漏洞的建议。如果漏洞和相关的修复具有时效性,这就会尤其有用。公司需要等到竞赛结束时才能实施修复。
退款保证
竞赛结束时,若最后发现我们客户的系统没有漏洞,则 Buglab 将通过使用我们的智能合约,自动对 90% 的竞赛费用做退款处理。其余 10% 按照如下题为 Vigilante Protocol 部分的解释留作 Vigilante Protocol 储备金 (VPR)。
服务等级
Buglab 将按固定价格组织渗透测试,交由我们团队预先批准的专家来完成。下表提供了三种服务等级的功能特色亮点。

Vigilante Protocol
除了面向各种规模的企业开展竞赛以外,Buglab 正在推出一个全球一体化的黑客防范计划,名为 Buglab Vigilante Protocol。该系统允许白帽研究人员对不属于我们平台客户的公司系统漏洞进行报
告。
我们邀请企业以自愿小费或酬金的形式对发现瑕疵的白帽黑客进行奖励。通过这种方式,企业可以很少的成本从警惕的守卫者那里获得对他们的解决方案的建议。
该协议使社区白帽黑客以及匿名白帽用户以安全和道德的方式3向不属于 Buglab 客户的企业报告漏洞。
下一部分提供了更多信息。

公司可以选择向白帽黑客给予一份自愿奖励以及/或预订一次竞赛。若公司预订一次竞赛,则该白帽黑客将收到 2% 的服务费用。Buglab 将推荐公司邀请此白帽黑客参与,即使他/她并不具有渗透测试人员身份。

Buglab 代币
为了在区块链环境中激励渗透测试,Buglab 代币 (BGL) 应运而生。在 Buglab 经验的语境下,代币交换会发生在如下场景中:
● 奖励竞赛获胜者——排名中的前三名,或由客户自定义。
● 覆盖一次竞赛的成本,包括交易成本。
● 对白帽黑客实现并代币化“小费”功能。
● 向 VPR 和 BTR 提供资金。
● 奖励 CERT 和 CSIRT 对漏洞分类以及帮助建立新的合作伙伴关系。
代币可以依据保存代币的合约内设定的规则,在互联网上的两个当事方之间转移。在 TDE 期间,代币会打折预售给那些认同平台价值、并当平台准备就绪且总体可供公众使用时预计自己会使用代币来访问平台的用户。
BGL 代币是基于 ERC20 标准的区块链代币。正如下图所示,生态系统内进行的所有交易都将需要该代币,包括预订一次竞赛。

大多数技能娴熟的渗透测试人员和白帽黑客不想为了收款而披露自己的财务信息,因此,通过创建代币,我们能够吸引这些人。对那些参与 Vigilante 戒过程的白帽黑客来说,我们还认为这是最佳奖励解决方案。

关于更多Buglab信息:https://buglab.io/

文章来源:http://www.qukuaiwang.com.cn/news/9817.html
原文作者:Buglab
特别申明:区块链行业ICO项目鱼龙混杂,投资风险极高;各种数字货币真假难辨,需用户谨慎投资。blockvalue.com只负责分享信息,不构成任何投资建议,用户一切投资行为与本站无关。

1.价值区块链(blockvalue.com)遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.价值区块链的原创文章,请转载时务必注明文章作者和"来源:价值区块链(blockvalue.com)",不尊重原创的行为本站或将追究责任;3.作者投稿可能会经价值区块链编辑修改或补充。