乌云社区自2010年5月上线以来,至今已有超过 1.4万的白帽子活跃其中,乌云在国内安全领域的地位自不用多言。
2015年7月唐朝安全巡航(TangScan)SaaS持续风险管理平台,作为乌云社区的第三方合作伙伴,同时作为乌云的独立子品牌,低调上线,12月的正式发布。
TangScan提供意见接入方式,帮客户发现和梳理潜在遗留互联网资产、深度检测安全漏洞、实时感知六大安全风险,帮助企业分析自身风险趋势。企业使用的不再是一个孤立的安全产品,而是由TangScan提供的一站式服务。
经过半年的打磨,TangScan对以下技术进行升级:
spider抓取技术:利用静态和动态引擎结合,同时配备多客户端模拟抓取技术,目前已经能够完美覆盖移动浏览器页面的识别和抓取,保障风险检测在企业网站的业务覆盖面上有了质的提升。
分布式集群的稳定性:考虑到客户单IP对应多域名,及单域名对应多ip的情况,对分布式检测集群进行了智能限速,以保障企业业务的正常运转不会受到TangScan检测的影响。
核心检测能力:上线了存储型XSS检测引擎。
专家服务流程:每个企业都分配了专属的安全专家进行服务,对企业的报告进行深入解读和风险预警,并跟踪服务客户从发现问题到最后解决问题整个过程。
除此之外,TangScan平台上有更多的白帽子提交安全策略(插件)更新。产品负责人华鹏介绍:“唐朝会第一时间邀请乌云主站漏洞提交的原创者做插件,或者待厂商修复或漏洞细节和乌云第三方合作伙伴公开后邀请其它可信白帽代为编写。”
插件更新之后,会第一时间同步到TangScan的平台上,将原插件进行覆盖,华鹏说:“与TangScan合作的白帽子都是经过乌云精挑细选的,其行为受到乌云相关协议约束。”
新的付费模式
之前TangScan以年费收取服务费,这次提供了新的付费模式—按结果付费。对于这种收费方式华鹏解释:“不同于购买服务器或者云服务可以通过量化的方式直观的感受到价值,而购买安全产品得到的结果不好量化。另外在出现新的漏洞时,不要再购买新的设备,只需要通过TangScan提供的服务就可以做到。”
TangScan会将结果分为低危、中危、高危三个级别,其分类方式跟目前乌云平台完全一致。用户根据不同级别漏洞的数量来进行付费。既然是按照结果进行付费,也就会有完全免费的服务,包括:IP、域名等资产管理;漏洞、内容、数据风险管理;通用安全事件预警;收费服务:漏洞细节;风险演示;安全管理(专家建议)。
当然传统的付费模式依然适用,选择哪种缴费方式,需要根据企业结合自身安全状况以及安全预算和需求来最终确定。
TangScan在半年多的运营中发现:虽然一些使用开源技术的初创公司存在安全漏洞但是试图向互联网转型的传统企业安全问题更加严重,安全意识也更加薄弱。
36氪在这方面的还有如下几篇报道:
SaaS 公司正不断调整发展策略
2016 年,SaaS 类早期初创企业融资状况及预测
SaaS 初创企业应该了解的三种用户细分策略
