漏洞獎勵項目的益處眾多,但風險亦然。
當涉及向當事方通報技術漏洞時,多數安全研究者和黑客們都清楚他們需要謹慎處理。Logan Lamb 從中吸取了慘痛教訓,當他發現了家用警報系統的安全脆弱性時,然后迫于知名家居安全廠商的壓力,在去年8月的美國黑帽大會上對這一發現未做披露。
但黑帽大會也是廠商愿意自找麻煩的場所。2014年,移動信用卡處理器廠商 Square 推出了它的安全漏洞獎勵項目,這個項目通過 HackerOne 管理。2013 年,微軟在拉斯維加斯會議推出了它的漏洞獎勵項目。盡管黑帽大會及其他安全集會促進了各行業安全漏洞獎勵項目的可能性,事實卻是多數組織仍缺乏機制去保障“局外者”穩妥地通報安全缺陷。
漏洞獎勵項目的益處眾多,但風險亦然。PayPal的漏洞獎勵項目前負責人Gus Anagnos 是這樣認為的,他在本月專題文章《審視漏洞獎勵項目》中與技術類記者 Alan R. Earls 做了經驗分享。Anagnos在7月加入了安全創業公司 Synack ,作為該公司戰略與運營副總裁。他提及:“你正與誰在打交道,關于這點并不總是很清晰—你并不知道自己是在與白帽子合作還是黑帽子。”
Anagnos 還說,“這些系統中可能存在大量噪音,提交的內容并不總是有質量保證,而那些發現也并不總是那么重要。”
先驅者谷歌在2010 年推出其獎勵計劃,面向它的研究者提供如 Bughunter 大學這樣的社區資源,幫助簡化漏洞提交流程。該公司告誡研究人員說:"我們通過漏洞通報形式接收到的提交材料,大約有 90% 最終被確定為對產品安全只有很少的實際意義或完全沒有。"
漏洞獎勵計劃僅是在累積漏洞嗎?最高級別的金錢獎勵通常針對可能導致敏感數據和隱私問題危害的技術漏洞。
我們可曾想過是誰提出了bug這一用語?是Grace Hopper 。幾年前AT&T 年度網絡安全會議期間,他在接受 AT&T 首席安全官 Ed Amoroso “采訪”時提出的。這次Marcus Ranum趕上了 Ed Amoroso 的時間,進行了一次對話,獲得他對發展中計算機安全產業難得的視角。隨著安全控制技術的迅速發展,CISO需要跟上技術評估,并面對復雜的安全設計制定策略和戰略。
由于很多公司希望能更早檢測到入侵事件并限制其危害,業界針對 SIEM (安全信息事件管理)系統的興趣日益增加。但是信息過載(誤報)以及不能捕獲高級攻擊跡象(漏報)仍然是其主要問題,Rob Lemos在《尋求數據分析驅動的安全:你的 SIEM 系統在瀕危名單中嗎?》一文中進行了報導。大數據和高級分析技術有望提供更好、更完整的威脅檢測。
隨著一些組織會從行為分析中尋求針對威脅的早期檢測,我們再次討論索尼影視娛樂遭受黑客事件之后、所謂“足夠好”的安全這一概念。有哪些權衡會影響業務風險決策?且展望未來會如何改變?技術類記者 David Strom 采訪了幾位來自不同行業的安全官和IT安全經理,并將其發現在《索尼事件之后“足夠好”的安全》一文中做了報導。
企業如何能基于實際威脅和漏洞情況實施防御,而不是投資到較為寬泛的技術措施上面?這些問題的答案仍然難以獲得,由于CISO 需要操心的長名單中還添加了風險管理和業務運營知識—信賴的伙伴關系、全球威脅意識、可靠的體系結構和經驗證過的技術。什么是足夠好的安全,以及你什么時候需要更多?
京公網安備 11010502049343號