漏洞奖励项目的益处众多,但风险亦然。
当涉及向当事方通报技术漏洞时,多数安全研究者和黑客们都清楚他们需要谨慎处理。Logan Lamb 从中吸取了惨痛教训,当他发现了家用警报系统的安全脆弱性时,然后迫于知名家居安全厂商的压力,在去年8月的美国黑帽大会上对这一发现未做披露。
但黑帽大会也是厂商愿意自找麻烦的场所。2014年,移动信用卡处理器厂商 Square 推出了它的安全漏洞奖励项目,这个项目通过 HackerOne 管理。2013 年,微软在拉斯维加斯会议推出了它的漏洞奖励项目。尽管黑帽大会及其他安全集会促进了各行业安全漏洞奖励项目的可能性,事实却是多数组织仍缺乏机制去保障“局外者”稳妥地通报安全缺陷。
漏洞奖励项目的益处众多,但风险亦然。PayPal的漏洞奖励项目前负责人Gus Anagnos 是这样认为的,他在本月专题文章《审视漏洞奖励项目》中与技术类记者 Alan R. Earls 做了经验分享。Anagnos在7月加入了安全创业公司 Synack ,作为该公司战略与运营副总裁。他提及:“你正与谁在打交道,关于这点并不总是很清晰—你并不知道自己是在与白帽子合作还是黑帽子。”
Anagnos 还说,“这些系统中可能存在大量噪音,提交的内容并不总是有质量保证,而那些发现也并不总是那么重要。”
先驱者谷歌在2010 年推出其奖励计划,面向它的研究者提供如 Bughunter 大学这样的社区资源,帮助简化漏洞提交流程。该公司告诫研究人员说:"我们通过漏洞通报形式接收到的提交材料,大约有 90% 最终被确定为对产品安全只有很少的实际意义或完全没有。"
漏洞奖励计划仅是在累积漏洞吗?最高级别的金钱奖励通常针对可能导致敏感数据和隐私问题危害的技术漏洞。
我们可曾想过是谁提出了bug这一用语?是Grace Hopper 。几年前AT&T 年度网络安全会议期间,他在接受 AT&T 首席安全官 Ed Amoroso “采访”时提出的。这次Marcus Ranum赶上了 Ed Amoroso 的时间,进行了一次对话,获得他对发展中计算机安全产业难得的视角。随着安全控制技术的迅速发展,CISO需要跟上技术评估,并面对复杂的安全设计制定策略和战略。
由于很多公司希望能更早检测到入侵事件并限制其危害,业界针对 SIEM (安全信息事件管理)系统的兴趣日益增加。但是信息过载(误报)以及不能捕获高级攻击迹象(漏报)仍然是其主要问题,Rob Lemos在《寻求数据分析驱动的安全:你的 SIEM 系统在濒危名单中吗?》一文中进行了报导。大数据和高级分析技术有望提供更好、更完整的威胁检测。
随着一些组织会从行为分析中寻求针对威胁的早期检测,我们再次讨论索尼影视娱乐遭受黑客事件之后、所谓“足够好”的安全这一概念。有哪些权衡会影响业务风险决策?且展望未来会如何改变?技术类记者 David Strom 采访了几位来自不同行业的安全官和IT安全经理,并将其发现在《索尼事件之后“足够好”的安全》一文中做了报导。
企业如何能基于实际威胁和漏洞情况实施防御,而不是投资到较为宽泛的技术措施上面?这些问题的答案仍然难以获得,由于CISO 需要操心的长名单中还添加了风险管理和业务运营知识—信赖的伙伴关系、全球威胁意识、可靠的体系结构和经验证过的技术。什么是足够好的安全,以及你什么时候需要更多?
作者:Kathleen Richards
来源:51CTO