攻擊者發(fā)起攻擊,但并不意味著我們需要把鑰匙交給他們。雖然沒有哪個連接互聯(lián)網的代碼或系統(tǒng)敢聲稱自己不會被攻擊,但保護代碼的最佳方法之一可能是邀請攻擊者過來:正確類型的攻擊者。
根據HackerOne的最新報告發(fā)現,“黑客賞金計劃越來越被多地視為保護公共部門數字資產的關鍵”,美國國防部等都在通過賞金計劃來抵御惡意攻擊者。據報道,好消息是,賞金計劃正在帶來切實的成果。
敵人的敵人最好懂得代碼
根據HackerOne表示,“通過黑客驅動的安全測試,企業(yè)可在道德黑客社區(qū)的幫助下更快識別高價值漏洞。”雖然我們一直在爭論專有或開源代碼哪個更安全,但現實是所有代碼本質上都不安全。
因此,這里的關鍵不是編寫完美的代碼,這不可能實現,而是以正確的方式編寫和破解代碼,即漏洞可快速被清除的方式。這是開源如此受歡迎的原因之一:更安全與否,它提供更快的漏洞發(fā)現和修復。
近年來,HackerOne等公司運行的漏洞獎勵計劃給企業(yè)帶來更多希望,讓企業(yè)可通過安全的方式邀請開發(fā)人員來檢查其代碼中是否存在未知風險,而不是等待下一個Wannacry綁架你的系統(tǒng),這似乎是非常昂貴的代價。
事實上,很多針對企業(yè)代碼最惡劣的攻擊都是利用開源(Shellshock)或專有軟軟件/協(xié)議中的漏洞,這也是Wannacry的方式。在很多情況下,系統(tǒng)因純粹的懶惰而暴露:IT根本沒有部署適當的安全政策,或者沒有修復發(fā)現的漏洞。Wannacry和Conficker都是純粹的機會主義威脅,這其實很容易被阻止。換句話說,有時候你的代碼有漏洞,而有時候是你的安全做法有問題。
無論哪種情況,讓白帽友好的黑客進入你的代碼(以及網絡)以在黑帽黑客之前發(fā)現問題,這是聰明的做法。
白帽vs黑帽黑客
根據對800個黑客安全計劃進行調查,以及全球2000家最大企業(yè)披露的數據收集,HackerOne發(fā)現這些結果:
1. 不只是技術行業(yè):雖然2016年超過半數的漏洞賞金計劃是在技術公司,但41%是來自其他行業(yè)。政府、媒體和娛樂、金融服務業(yè)、銀行業(yè)、電子商務和零售業(yè)均呈同比增長。
2. 變得越來越好:在2017年,對安全問題的第一次響應平均時間是6天,而2016年是7天。電子商務和零售行業(yè)在4周內修復安全問題,平均最快。
3. 好計劃吸引最好黑客:最快確認、驗證和解決提交漏洞的計劃是最吸引黑客的計劃。
4. 賞金不斷增加:在2017年,因關鍵漏洞支付給黑客的平均獎金是1923美元,在2015年為1624美元,增加16%。頂級漏洞賞金級豪華平均每個月獎勵黑客5萬美元,有的每年支付90萬美元。
5. 頂級公司仍然想要保持機密:盡管漏洞賞金計劃越來越廣泛,仍然有94%的上市公司沒有漏洞披露政策,與2015年一樣。
6. 企業(yè)最關心安全漏洞:73%受訪客戶稱他們擔心未知安全漏洞被利用,而52%表示擔心客戶數據和知識產權遭到盜竊。
在這其中,最讓人振奮的發(fā)現是,正如下圖所示,全球各行各業(yè)都開始采用賞金計劃:
技術行業(yè)是第一個了解賞金計劃需要的行業(yè),因為其業(yè)務通常是軟件。但如果軟件覆蓋全世界,那么,每家公司都是軟件公司,所有公司都需要確保其代碼被白帽黑客攻擊,而不是黑帽黑客。顯然,這方面還有很多工作要做,但趨勢正朝著正確的方向發(fā)展。
京公網安備 11010502049343號