漏洞奖励项目的益处众多,但风险亦然。 当涉及向当事方通报技术漏洞时,多数安全研究者和黑客们都清楚他们需要谨慎处理。Logan Lamb 从中吸取了惨痛教训,当他发现了家用警报系统的安全脆弱性时,然后迫于知名家居安全厂商的压力,在去年8月的美国黑帽大会上对这一发现未做披露。 但黑帽大会也是厂商愿意自找麻烦的场所。
2014年,移动信用卡处理器厂商 Square 推出了它的安全漏洞奖励项目,这个项目通过 HackerOne 管理。2013 年,微软在拉斯维加斯会议推出了它的漏洞奖励项目。尽管黑帽大会及其他安全集会促进了各行业安全漏洞奖励项目的可能性,事实却是多数组织仍缺乏机制去保障“局外者”稳妥地通……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
漏洞奖励项目的益处众多,但风险亦然。
当涉及向当事方通报技术漏洞时,多数安全研究者和黑客们都清楚他们需要谨慎处理。Logan Lamb 从中吸取了惨痛教训,当他发现了家用警报系统的安全脆弱性时,然后迫于知名家居安全厂商的压力,在去年8月的美国黑帽大会上对这一发现未做披露。
但黑帽大会也是厂商愿意自找麻烦的场所。2014年,移动信用卡处理器厂商 Square 推出了它的安全漏洞奖励项目,这个项目通过 HackerOne 管理。2013 年,微软在拉斯维加斯会议推出了它的漏洞奖励项目。尽管黑帽大会及其他安全集会促进了各行业安全漏洞奖励项目的可能性,事实却是多数组织仍缺乏机制去保障“局外者”稳妥地通报安全缺陷。
漏洞奖励项目的益处众多,但风险亦然。PayPal的漏洞奖励项目前负责人Gus Anagnos 是这样认为的,他在本月专题文章《审视漏洞奖励项目》中与技术类记者 Alan R. Earls 做了经验分享。Anagnos在7月加入了安全创业公司 Synack ,作为该公司战略与运营副总裁。他提及:“你正与谁在打交道,关于这点并不总是很清晰—你并不知道自己是在与白帽子合作还是黑帽子。”
Anagnos 还说,“这些系统中可能存在大量噪音,提交的内容并不总是有质量保证,而那些发现也并不总是那么重要。”
先驱者谷歌在 2010 年推出其奖励计划,面向它的研究者提供如 Bughunter 大学这样的社区资源,帮助简化漏洞提交流程。该公司告诫研究人员说:"我们通过漏洞通报形式接收到的提交材料,大约有 90% 最终被确定为对产品安全只有很少的实际意义或完全没有。"
漏洞奖励计划仅是在累积漏洞吗?最高级别的金钱奖励通常针对可能导致敏感数据和隐私问题危害的技术漏洞。
我们可曾想过是谁提出了bug这一用语?是 Grace Hopper 。几年前 AT&T 年度网络安全会议期间,他在接受 AT&T 首席安全官 Ed Amoroso “采访”时提出的。这次Marcus Ranum赶上了 Ed Amoroso 的时间,进行了一次对话,获得他对发展中计算机安全产业难得的视角。随着安全控制技术的迅速发展,CISO需要跟上技术评估,并面对复杂的安全设计制定策略和战略。
由于很多公司希望能更早检测到入侵事件并限制其危害,业界针对 SIEM (安全信息事件管理)系统的兴趣日益增加。但是信息过载(误报)以及不能捕获高级攻击迹象(漏报)仍然是其主要问题,Rob Lemos在《寻求数据分析驱动的安全:你的 SIEM 系统在濒危名单中吗?》一文中进行了报导。大数据和高级分析技术有望提供更好、更完整的威胁检测。
随着一些组织会从行为分析中寻求针对威胁的早期检测,我们再次讨论索尼影视娱乐遭受黑客事件之后、所谓“足够好”的安全这一概念。有哪些权衡会影响业务风险决策?且展望未来会如何改变?技术类记者 David Strom 采访了几位来自不同行业的安全官和IT安全经理,并将其发现在《索尼事件之后“足够好”的安全》一文中做了报导。
企业如何能基于实际威胁和漏洞情况实施防御,而不是投资到较为宽泛的技术措施上面?这些问题的答案仍然难以获得,由于 CISO 需要操心的长名单中还添加了风险管理和业务运营知识—信赖的伙伴关系、全球威胁意识、可靠的体系结构和经验证过的技术。什么是足够好的安全,以及你什么时候需要更多?
相关推荐
-
雇佣前黑客:这是企业安全的解决之道吗?
如今有些企业开始雇佣更多的黑客来帮助他们改善安全态势。虽然黑客拥有很高的技能,但这真的是好主意吗?这一战略的利弊是什么?真的有道德黑客吗?
-
如何缓解Microsoft XML漏洞带来的风险?
据报告称,43%的Microsoft XML用户正在运行存在漏洞的版本。在本文中,安全专家Michael Cobb探讨了如何缓解这一风险。
-
分步指南之二:理解局限性
在企业中进行密码强度测试的最好方法是从道德黑客的角度出发。第一步——也是最重要的一步——就是……
-
如何当好白帽子安全工程师
黑客一词常常用来描述那些窃取计算机信息的人,不过这种认识只是体现了事物的黑暗一面。黑客实际上也有白帽和黑帽之分,白帽黑客是合法的黑客……