從一只不被認可的“丑小鴨”蛻變成為人人艷羨的“白天鵝”，是每個初創(chuàng)型企業(yè)的理想。幫這些初創(chuàng)型企業(yè)解決安全問題，更好的完成蛻變實現(xiàn)理想，也是白帽匯安徒生平臺主要服務目標。趙武說，“以安徒生取名，既契合了創(chuàng)業(yè)艱難，但前途美好的寓意，又容易記?！?/span>

安徒生平臺的LOGO也用了小鴨子的形象。 

趙武，代號zwell

｜探索與定位

但在項目構想之初，平臺的服務定位并沒有這么清晰。平臺中的技術架構基本上是為大企業(yè)的設計的。

如大數(shù)據(jù)技術、漏洞監(jiān)控技術、職場管理流量監(jiān)控技術在BAT、360等大企業(yè)的安全防護中很常見，但并不適合于中小企業(yè)。而平臺服務的定位是Saas模式，大企業(yè)對公有云的服務方式比較敏感，而中小企業(yè)一般不會太介意。 

大企業(yè)通常會有200人左右的安全團隊做支撐，而初創(chuàng)企業(yè)因為預算、經(jīng)驗等的不足，導致安全能力較差，但被攻擊又是不可避免的。趙武和他的團隊最終決定，將大企業(yè)的這套安全服務模式，復制到中小企業(yè)里去，為中小企業(yè)提供一種門檻較低，但在一定方式上有效的安全問題解決方案。

雖然整個項目的規(guī)劃用了近一年的時間，但從項目啟動到完成demo，卻只用了三個月。 

安徒生平臺的全名為，安徒生·企業(yè)威脅感知平臺。SANS 研究院對威脅情報的定義是：針對安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標、所收集的用于評估的應用的數(shù)據(jù)集。白帽匯將威脅情報簡單的定義為：

誰想搞你，誰搞到你了，想怎么搞，但凡可能對企業(yè)安全產(chǎn)生威脅的都是威脅情報。 

趙武告訴雷鋒網(wǎng)，通常企業(yè)對自己的資產(chǎn)狀況并不熟悉，這會導致發(fā)現(xiàn)漏洞威脅后，修補效率很低。

曾經(jīng)有一家巨頭企業(yè)，打一個補丁用了三天的時間，就是因為對自己的資產(chǎn)狀況不夠了解。 

為及時準確的發(fā)現(xiàn)企業(yè)安全威脅情報，安徒生平臺會先對企業(yè)的資產(chǎn)做一個梳理，并打上指紋標簽。

安徒生平臺資產(chǎn)透視頁面

安徒生平臺把企業(yè)資產(chǎn)分為IT資產(chǎn)與員工資產(chǎn)兩部分。

凡是企業(yè)中機器化的設備，都叫做IT資產(chǎn)，除了服務器、筆記本、打印機、臺式機這些物理資產(chǎn)以外，網(wǎng)站運營也屬于企業(yè)可以管理的IT資產(chǎn)。

人員資產(chǎn)就是企業(yè)員工或者客戶的信息。如，有員工會用公司郵箱注冊其他的網(wǎng)站的賬戶，一旦其他網(wǎng)站服務商被入侵，對企業(yè)信息的泄露也會造成威脅。

指紋標簽就是對資產(chǎn)服務進行標定。

與人的指紋一樣，IT資產(chǎn)也有指紋，就像設備編號，企業(yè)安全中的部分漏洞來源就是資產(chǎn)開放的一些端口或服務。

｜大數(shù)據(jù)從何而來

做威脅情報離不開大數(shù)據(jù)。安徒生主要通過Noesec大數(shù)據(jù)安全協(xié)作平臺與社交化的威脅情報收集平臺兩個渠道獲取大數(shù)據(jù)。

在研發(fā)安徒生平臺之前，白帽匯創(chuàng)立了一個Noesec大數(shù)據(jù)安全協(xié)作平臺。平臺會把企業(yè)對外公開的所有零零散散的企業(yè)資產(chǎn)信息自動化抓取，進行積累匯總后，形成了一個龐大的資產(chǎn)體系。 

國內(nèi)的黑產(chǎn)地下交易中心主要是論壇與QQ群，安徒生會通過發(fā)動白帽子用監(jiān)控QQ群與數(shù)據(jù)論壇的方式及時獲取到服務相關企業(yè)的安全威脅信息。趙武介紹道：

我們會從白帽子那里第一時間獲取到正在被販賣的企業(yè)數(shù)據(jù)情報，具體泄漏了哪些數(shù)據(jù)我們不知道，但我們對獲取到的情報也有一個評判標準，我們會拿著這個數(shù)據(jù)去跟企業(yè)做一個溝通，讓企業(yè)自己去辨別。

白帽匯還做了一個只針對Http協(xié)議、Web 應用層的“全球網(wǎng)站檢索”。通過收集全球web服務指紋，可以很容易標識出一個網(wǎng)站在哪個端口，使用哪種 Web Server，哪種編程語言，以及哪種開源框架（如：CMS等）。也可以找到全球有哪些在線的 Squid 代理服務器，有哪些網(wǎng)站使用了 Jquery，有哪些在線H3C路由器，哪些網(wǎng)站使用了GeoTrust證書，哪些網(wǎng)站掛了某一種木馬，哪些網(wǎng)站使用了CloudFlare的 CDN 等。

安徒生平臺威脅分析頁面

通過大數(shù)據(jù)獲取到企業(yè)的威脅情報信息后，安徒生平臺會對情報進行分析，對漏洞的影響程度以及利用難度進行劃分為高危、中危、低危四個等級，并為企業(yè)提供修復意見。

｜童話中的現(xiàn)實

目前安徒生平臺的demo已通過網(wǎng)站的形式上線，并在一些熟識的企業(yè)中進行試推與打磨，然后根據(jù)接受試推的企業(yè)與業(yè)內(nèi)人士的意見再進行調整與改進。但趙武認為，

目前白帽匯的產(chǎn)品研發(fā)進度仍然過慢，雖然技術團隊已經(jīng)擴充到了20人，之前也積累了一些產(chǎn)品經(jīng)驗，但坑只能一個一個去填，急不得。

而云服務的模式，需要強大的服務器與帶寬來支持，這也是一筆很大的成本。

至于安徒生平臺什么時候開始向外推廣，趙武表示還不著急。

一方面，現(xiàn)在產(chǎn)品還沒有達到一個很好的狀態(tài)?，F(xiàn)階段企業(yè)只要提供域名，就可以自動化監(jiān)控威脅情報。但這只是外部威脅情報，要布置一些流量性的企業(yè)性探針到內(nèi)部去，這可能是一個很大的坎。企業(yè)會不會接受，以什么樣的形式接受，都需要再去討論。日志分析的功能也還沒有添加進去，機器學習的功能還在積累。

另一方面，對于安徒生平臺的推廣方式以及盈利模式也還在探索中。只獲得認可，并不代表愿意為你的產(chǎn)品消費。雖然盈利不是最終目標，但愿意消費是對產(chǎn)品價值認同的表現(xiàn)。

在安全圈打拼了許多年，對做產(chǎn)品趙武也有著自己的心得，跑的越快有可能死的越早，小步慢跑，穩(wěn)扎穩(wěn)打就好。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。