八月初,在拉斯維加斯舉行的一年一度黑帽(Black Hat)大會上,有數千名黑客和安全專家現身,揭示了目前全球各大產品在安全領域所面臨的最新、最大的安全威脅。在整個星期的介紹和演講中,安全研究人員和黑客們展示了他們在攻擊和漏洞方面的發現,曝光了在連接各類設備、商業基礎設施中所出現的漏洞。
汽車黑客、優步高級技術中心的安全專家查理·米勒(右)和克里斯·瓦拉謝克在黑帽大會上演示汽車黑客技術(新華社記者郭爽 拍攝)
蘋果懸賞最高20萬美金尋找系統漏洞
隨著人們在智能手機中存入的私人數據越來越多,智能手機公司通過保護用戶數據從而贏得信賴也愈發重要,蘋果系統保安工程主管Ivan Krstic日前在黑客云集的拉斯維加斯的黑帽系統安全大會宣布,他們將針對5個類別的漏洞推出全新漏洞懸賞計劃。其中,在阻止未授權程序啟動的防火墻中發現漏洞,獎金高達20萬美元;從Secure Enclave中發現泄漏機密信息的漏洞,最高可獎勵10萬美元;訪問蘋果公司服務器iCloud賬戶的漏洞,最高獎勵5萬美元;在安全沙盒之外訪問用戶數據的漏洞,最高獎勵2.5萬美元。
特斯拉/通用等汽車公司陸續發布漏洞懸賞
隨著汽車的逐步智能化,以及越來越依賴于軟件控制系統,在汽車連接網絡為車主提供更多功能的同時,安全隱患也隨之增加。除了日常要處理的硬件設備問題,許多未曾面臨過的安全問題也被應推到汽車制造商面前。例如,已經出現黑客利用車載系統漏洞遙距控制汽車的安全問題,這類重大安全問題無疑引起了各方面的關注。汽車業的相關企業已經開始發布漏洞懸賞,如特斯拉和通用汽車公司。黑客每回報一個漏洞可獲得 特斯拉公司提供的100 至 10,000 美元不等的獎金。通用汽車加入漏洞懸賞計劃不久,但同樣會提供獎勵給匯報漏洞的白帽,例如考慮邀請他們參加研發中汽車的試行駕駛測試。
近年來,逐漸步向智能化的汽已經成為黑客的新目標,可以預見未來汽車領域上的網絡安全問題將不斷涌現,其他的汽車廠商更應學習通用和特斯拉公司,加入漏洞懸賞計劃,防止重大安全漏洞被黑客利用。
特斯拉在bugcrowd的漏洞懸賞計劃頁面
國內互聯網公司加入安全生態圈
目前國際上已有數百家科技公司為找出漏洞的程序員提供獎勵,基于國內目前安全市場需求量的日益增長,一些網絡安全公司也已經開始針對國內各類型公司提供更具體的安全服務方案。
眾所周知,隨著信息數據化時代的到來,各種互聯網的軟件/硬件等漏洞,被稱作網絡戰爭中的軍火,很多不懷好意的人通過漏洞獲取數據信息、打擊競爭對手。因此,在互聯網世界的“軍火”市場上,天價漏洞成為畸形市場行情催化下的不良產物。但是,隨著全球關于互聯網安全的相關法律法規逐步完善,藏于黑色地帶的漏洞交易也將失去市場,所有以非法盈利為目的的交易將逐步被擺上臺面或者進入合法流程,否則無以為繼。
國內安全市場已經初步發育成型,從360的漏洞相應平臺補天,阿里的先知,到一直專注于安全行業的漏洞盒子,以及各大互聯網巨頭自己的SRC,已經將國內市場逐一劃分領域。而作為國內首創的漏洞懸賞平臺,SOBUG以國外HackerOne平臺的運營模式為例,經過兩年多來的廠商服務案例,將漏洞懸賞模式在國內落地并優化。
為解決最基礎的合法合規問題,SOBUG平臺上的所有項目均得到廠商授權,合同將展示在項目詳情中,保證平臺所有的安全測試環節都在可控范圍內,為白帽子的安全測試提供合法基礎。SOBUG的初衷是希望通過這一保障制度,做到讓白帽黑客賺錢有理有據,同時也為廠商最為重視的信息安全加上一把法律之鎖。
并且SOBUG通過不斷完善產品,將SOBUG打造成為一個漏洞協作平臺,廠商和白帽的協作會讓信任加深,同時,白帽也會得到更多的機會,可能有來自于企業伸出的橄欖枝,更豐厚的賞金,以及來自廠商的尊重與感謝。
在兩年多的實際服務經驗中得出結論,SOBUG安全平臺不再做單一的漏洞輸出渠道,而是希望通過盡可能多的白帽集群盡快發現并解決各種安全問題。SOBUG始終堅信:漏洞的發現不是其生命周期的最終閉環,徹底解決并讓它不再出現才是真正意義上的問題終結。SOBUG會將安全服務延續到安全問題的后續處理中,讓漏洞的搬運、協作、解決成為一套標準流程,讓更多的廠商可以順暢地參與其中。
在數據時代,信息的儲存轉換顯得尤為可貴,SOBUG將建立起完整的ROI體系,確保漏洞體系中的每一個環節,都可通過各種數據緯度去證明服務價值,讓數據運營真正意義上地去驅動安全變化,為提供更細致的服務而不斷努力。
京公網安備 11010502049343號