漏洞獎勵項目的益處衆多,但風險亦然。
當涉及向當事方通報技術漏洞時,多數安全研究者和黑客們都清楚他們需要謹慎處理。logan lamb 從中吸取了慘痛教訓,當他發現了家用警報系統的安全脆弱性時,然後迫于知名家居安全廠商的壓力,在去年8月的美國黑帽大會上對這一發現未做披露。
但黑帽大會也是廠商願意自找麻煩的場所。2014年,移動信用卡處理器廠商 square 推出了它的安全漏洞獎勵項目,這個項目通過 hackerone 管理。2013 年,微軟在拉斯維加斯會議推出了它的漏洞獎勵項目。盡管黑帽大會及其他安全集會促進了各行業安全漏洞獎勵項目的可能性,事實卻是多數組織仍缺乏機制去保障“局外者”穩妥地通報安全缺陷。
漏洞獎勵項目的益處衆多,但風險亦然。paypal的漏洞獎勵項目前負責人gus anagnos 是這樣認為的,他在本月專題文章《審視漏洞獎勵項目》中與技術類記者 alan r. earls 做了經驗分享。anagnos在7月加入了安全創業公司 synack ,作為該公司戰略與營運副總裁。他提及:“你正與誰在打交道,關于這點并不總是很清晰—你并不知道自己是在與白帽子合作還是黑帽子。”
anagnos 還說,“這些系統中可能存在大量噪音,送出的内容并不總是有品質保證,而那些發現也并不總是那麼重要。”
先驅者谷歌在2010 年推出其獎勵計劃,面向它的研究者提供如 bughunter 大學這樣的社群資源,幫助簡化漏洞送出流程。該公司告誡研究人員說:"我們通過漏洞通報形式接收到的送出材料,大約有 90% 最終被确定為對産品安全隻有很少的實際意義或完全沒有。"
漏洞獎勵計劃僅是在累積漏洞嗎?最進階别的金錢獎勵通常針對可能導緻敏感資料和隐私問題危害的技術漏洞。
我們可曾想過是誰提出了bug這一用語?是grace hopper 。幾年前at&t 年度網絡安全會議期間,他在接受 at&t 首席安全官 ed amoroso “采訪”時提出的。這次marcus ranum趕上了 ed amoroso 的時間,進行了一次對話,獲得他對發展中計算機安全産業難得的視角。随着安全控制技術的迅速發展,ciso需要跟上技術評估,并面對複雜的安全設計制定政策和戰略。
由于很多公司希望能更早檢測到入侵事件并限制其危害,業界針對 siem (安全資訊事件管理)系統的興趣日益增加。但是資訊過載(誤報)以及不能捕獲進階攻擊迹象(漏報)仍然是其主要問題,rob lemos在《尋求資料分析驅動的安全:你的 siem 系統在瀕危名單中嗎?》一文中進行了報導。大資料和進階分析技術有望提供更好、更完整的威脅檢測。
随着一些組織會從行為分析中尋求針對威脅的早期檢測,我們再次讨論索尼影視娛樂遭受黑客事件之後、所謂“足夠好”的安全這一概念。有哪些權衡會影響業務風險決策?且展望未來會如何改變?技術類記者 david strom 采訪了幾位來自不同行業的安全官和it安全經理,并将其發現在《索尼事件之後“足夠好”的安全》一文中做了報導。
企業如何能基于實際威脅和漏洞情況實施防禦,而不是投資到較為寬泛的技術措施上面?這些問題的答案仍然難以獲得,由于ciso 需要操心的長名單中還添加了風險管理和業務營運知識—信賴的夥伴關系、全球威脅意識、可靠的體系結構和經驗證過的技術。什麼是足夠好的安全,以及你什麼時候需要更多?
作者:kathleen richards
來源:51cto