En

[TPSA16-05] 2015年度腾讯“威胁情报奖励计划”工作报告

公告编号:TPSA16-05公告来源:TSRC发布日期:2016-02-16

分享

【概述】 


        腾讯非常重视安全,也愿意在安全上投入资源。自2012年开启安全漏洞奖励模式以来,腾讯安全应急响应中心(TSRC)迈出的每一步都离不开大家的鼓励与扶持,我们也不断努力,为报告者提供更丰厚的礼品和现金奖励。在2015年随着安全形势的变化,我们将TSRC原有的“漏洞奖励计划”正式升级为“威胁情报奖励计划”,不但希望为安全从业者创造更多的机会与财富,而且希望为普通用户创造认知安全并以此获得财富的途径。在新一年的开始,TSRC感谢所有支持和帮助过我们的安全专家及安全团队。

 

【漏洞处理情况】 


        作为腾讯安全事件应急响应机构,TSRC 2015年处理了外部反馈的若干个安全漏洞,由于过去三年“漏洞奖励计划”的激励,在众多国内外安全专家的帮助下,我们自身业务的安全水平以及自有系统的检测防御能力均有所提高,2015年得到的漏洞总数持续收敛。所有外部反馈漏洞中来自TSRC漏洞反馈平台的占比93%,通过非官方渠道报告漏洞占比7%,主要来自乌云漏洞报告平台。

        在此,TSRC对所有帮助腾讯提升安全质量的安全专家表示深深的感谢和崇高的敬意。 



【奖励计划实施情况】 


        2015年腾讯“漏洞奖励计划”在现有丰富的礼品奖励、月度奖励、即时现金奖励、年度现金奖励的基础上,进一步完善加强白帽子节假日和特色人文关怀活动的额外奖励机制,推出了针对特定核心业务的奖励提升机制。共计为335位个人39个安全团队提供了奖励,奖品涵盖生活多个方面,包括苹果笔记本、iphone、ipad、定制外套、背包、血糖仪、Q币、公仔以及现金等(具体奖品点此可见)。加上邮寄费、奖品个税、人工成本等,漏洞奖励的投入经费近500万人民币,是目前国内为安全漏洞奖励投入最多、覆盖最广的企业。 


        另外,TSRC还与业界许多安全团队建立了友好的沟通交流渠道,为业界联合推动行业安全健康发展打下了基础。 



【经验总结沉淀】 

        

        由于腾讯在线互联网业务众多,故外部发现的漏洞以Web漏洞居多。Web漏洞出现较多的类型为XSS以及信息泄漏。经过相关扫描器团队的不断优化,漏洞数量得到部分收敛。同时,随着终端检测防御系统能力的提高,移动终端的漏洞相比14年有较大的下降。此外,自10月开始收集威胁情报以来,威胁情报的数量也逐月攀升。各月漏洞分类如下图:


 

        通过对安全漏洞和威胁情报的总结,这些安全漏洞和威胁情报共为腾讯自有安全系统提供了50多条优化策略,涉及Web、PC客户端、移动客户端、服务器等安全领域和多个安全团队。优化措施实施后,腾讯自有安全系统发现了几千个同类安全漏洞并及时修复,极大地提升了腾讯的安全质量,保护了广大用户信息安全。 

        同时,TSRC在运营过程中也协助其它企业提升了产品的安全质量,保护了广大用户,为提升互联网安全尽一份绵薄之力。 


【未来计划】 


1、完善机制:继续改善和实施“威胁情报奖励计划”,礼品走现金化以及定制差异化两个路线,上线更多的激励机制。 

2、加强合作:加强与业内及高校安全团队的合作交流,尤其是在威胁情报方面的合作,举办更多的线下城市沙龙、高校校园行等活动。 

3、对外开放:利用TSRC官方博客、微博(@腾讯安全应急响应中心)更多地将安全经验沉淀输出给业界。 



【结语】 


        感谢所有支持和帮助过我们的安全专家和安全厂商们,2016年,欢迎更多的安全专家加入我们,我们会努力做得更好。目前我们的工作还存在许多不足,但我们一直在改进,真诚欢迎大家的批评建议! 



【腾讯安全漏洞处理平台介绍】 


        腾讯一直非常重视产品和业务的安全问题,除了建设专门的安全团队和安全系统以外,还积极引入外部力量。腾讯参考借鉴了国外微软、谷歌、Facebook、苹果等公司的做法,于2012年5月开展了“漏洞奖励计划”并推出了“安全问题反馈平台”,诚邀广大安全专家帮助腾讯发现安全问题,已有超过700位安全专家参与该项计划,帮助腾讯发现和修复了潜在的安全风险,第一时间保护了广大用户。2015年10月,腾讯更是将“漏洞奖励计划”正式升级为“威胁情报奖励计划”,目前该计划正在积极推进,欢迎更多的安全专家和用户加入。