PTaaS让您的SOC工作更轻松

安全运营中心（SOC）的分析师们深知，报名参加自卫课程和挂着“踢我”牌子四处走动之间存在天壤之别。前者是在受控环境中与可信参与者一起进行，他们的行为很容易被追责；而后者则是邀请任何有腿的人来踢你一脚。我们确信，大多数希望日常生活更安全、更自信的人会选择自卫课程。

寻求提升安全态势的组织通常必须在与渗透测试即服务（PTaaS）提供商合作和设置漏洞赏金计划之间做出类似选择。理想情况下，这一决定至少应部分基于以下问题的答案：哪种方法能让SOC人员更轻松地区分善意测试和恶意活动？

PTaaS：令人生畏但结构严谨

报名参加自卫课程是一项令人生畏的任务。有人要付费去一个地方，那里有一群人对沙袋（可能还有彼此）拳打脚踢，而教练还会因每个错误对他们大声呵斥？

但这是一种偏颇的观点。现实是，大多数教练在那里是为了帮助学员，而不是贬低或恐吓他们，高质量的课程会依靠专业设备和特定行为准则来最大限度地减少人与人接触时的受伤风险。

Synack平台也是如此。SOC工作人员可能认为，故意允许Synack红队（SRT）成员探查其资产（尤其是在生产环境中）纯粹是自找麻烦。但实际上，Synack只与通过严格五步审查流程的安全研究人员合作，该流程包括技术评估、背景调查和行为面试等，以帮助SOC安心。

这些经过审查的研究人员还通过Synack平台进行渗透测试，该平台包括与客户基础设施的虚拟专用网络（VPN）连接。这使得很容易将此类活动与授权测试关联起来，并帮助我们确保SRT在每位客户指定的参数范围内操作。当他们发现问题时，SRT和Synack的漏洞运营（VulnOps）团队会协作向客户提供清晰全面的报告。

漏洞赏金：熟悉但往往混乱

让我们将PTaaS方法与漏洞赏金进行比较——后者相当于挂着“踢我”牌子的安全测试。

组织使用漏洞赏金计划向发现并披露漏洞而非利用它们或将其出售给可能不怀好意的人的独立研究人员支付报酬。这当然比另一种选择更好，但也可能给SOC带来更多困难，尤其是在“安全研究”仅在当事人被抓后才“善意”进行的情况下。

SRT由已知的研究人员组成，他们在与组织资产交互之前同意特定的参与规则；漏洞赏金计划本质上允许任何具有技术知识和互联网连接的人寻找漏洞，即使计划向潜在的漏洞猎人传达了该做和不该做的事项，执行这些边界并追究违规者的责任也困难得多。

这些计划通常鼓励研究人员尽可能多地寻找潜在漏洞，而不是那些已被证明对组织构成实际风险的安全缺陷，这意味着SOC和组织内的其他部门必须处理比通过Synack平台更差的信噪比。而且，几乎无法区分漏洞赏金猎人和恶意黑客。

指导而非破坏

最后一个比较点：顾名思义，自卫课程旨在帮助人们学习如何自我保护。挂着“踢我”牌子可能会让人高度警觉，但这主要教会他们被踢会很痛。没有教练在为时已晚之前帮助某人在安全环境中纠正错误。

PTaaS同样旨在帮助组织解决他们最需要担心的漏洞。例如，发现漏洞的研究人员可以帮助组织确定他们实施的缓解措施或修正是否有效，或者是否需要重做。SRT描述漏洞的初始报告通常可以传递给开发和基础设施团队，以便他们学习如何避免未来出现类似问题。

Synack PTaaS：更智能的方法

PTaaS不仅是新常态——它是一种更好的渗透测试方式，尤其是在当今的威胁形势下。Synack汲取了漏洞赏金的优点，添加了SOC团队、开发人员和CISO们钟爱的高价值功能，并摒弃了传统模式的所有混乱。

不要只听我们的一面之词。请求演示，亲眼看看Synack PTaaS的实际效果。