最近几个月,漏洞赏金计划已经从降低风险转变为无意中给客户和供应商带来新的负担。漏洞赏金计划在过去几年加速发展,声称可以加快漏洞识别速度、提高产品安全性并降低成本。许多企业对此类外包解决方案感到困惑,急切地投入其中,却发现自己面临着意想不到的漏洞和意想不到的威胁。首先要做的是快速修复本该靠谱的BUG,到头来却又不过是又一个新的负担。随着验证要求变得越来越复杂和合规性框架审计疲劳的加剧,没有人会在没有仔细的战略考虑的情况下跳入漏洞赏金计划。但不幸的是,隐藏的风险比比皆是。漏洞赏金计划:不是官方认可的第三方认证,也不符合法规遵从性要求。可以快速识别漏洞,但它们无法提供深入测试或覆盖整个攻击面。开放源代码访问道德黑客,但为对手自由发现和恶意利用漏洞敞开大门。最容易被忽视的问题之一是漏洞赏金计划的成本很容易失控。可能的原因包括:发现的漏洞数量不受限制(支付赏金)、恶意利用漏洞(受监管的数据泄露)、修复无害漏洞(浪费开发时间)和法律判决(疏忽补救)。?规避隐患Bug赏金计划经常被管理层视为使用外包现货支付模式有效暴露漏洞的灵丹妙药。因此,许多程序过分强调漏洞赏金作为综合安全策略的一部分的价值。政策制定者很容易在没有仔细考虑和尽职调查的情况下批准此类项目。然而,假设真的太多了。也许最根本的症结在于人性,这引发了几个问题。如果一些所谓的道德黑客不那么道德怎么办?如果粗心的赏金猎人根本没有报告漏洞怎么办?如果未报告的漏洞随后以公司无法承受的代价被曝光怎么办?如果公司严重依赖采用测试形式但忽略对PCI、FedRAMP或其他监管合规框架的合规性的漏洞赏金计划怎么办?这发生在最近的一次取证审查中:赏金猎人未能在两个月后披露漏洞,很容易被恶意黑客利用,导致大量高价值客户数据在这个漏洞赏金计划的眼皮底下被盗和出售那应该可以防止此类事件的发生。财富500强公司尤其感受到了对他们试图通过漏洞赏金计划保护的应用程序的攻击越来越多。高生产环境中的攻击媒介随着赏金支出和机会目标而扩展。随着数量的增加,白帽黑客以欺诈方式触发潜伏在内部和外部的恶意黑客未经授权访问的可能性也在增加。大多数优秀的黑客都站在善良的一边。但典型的漏洞赏金计划提供了一种激励机制,可以快速将单个漏洞货币化。这种雇佣军行动在理论上是富有成效的,但这并不能否定适当审查的必要性以及覆盖整个攻击面的保障计划的重要性。在当今数据泄露频繁的世界中,法律责任的风险是巨大的。有太多判例法无法追究公司的责任。失败的漏洞赏金计划越来越多地出现在法律发现过程中,并被用来证明公司的监督。?成功的关键尽管存在陷阱,但每天接触这些程序表明漏洞赏金仍然有效,并且可以在企业风险管理中发挥重要作用。首先,建议将漏洞赏金监督委托给外部法律团队。我们不仅要发现漏洞,还要保护公司承担法律和监管责任的风险。毕竟,如果漏洞赏金计划发现的漏洞没有及时修复,他们将被追究法律责任。法院希望看到该公司及时采取合理措施修复已发现的漏洞并追究公司的责任。错误猎人不对遗漏或未能报告错误负责。最重要的是,漏洞赏金计划作为一种攻击性策略,在可检测的范围内存在固有的局限性,而众所周知,其他网络问题不会引起注意。一直依赖漏洞赏金计划来保证自身安全的公司经常会遇到1级漏洞。有时这些计划会失去重点,有时预期的投资回报会令人讨厌,有时计划会停止。也许预算因过多的赏金支出而捉襟见肘,并且漏洞利用的大门敞开着。?赏金增强安全管理应该购买漏洞赏金计划,作为对综合安全策略的补充和增强。积极的漏洞搜寻和可扩展的动态安全计划之间的微调是使一切保持平衡的原因。从多层法律保护开始让公司法律顾问参与计划审查,以确定是否最好与外部法律顾问合作以保护公司的合法权利。然后,确保漏洞赏金计划和漏洞修复过程齐头并进。有现成的解决方案集成可以帮助解决这个问题。共同的要素是利益相关者、业务领导者和交付资源的协调,以及有效规划和沟通的建立。漏洞赏金计划有其用武之地由于所有人都在关注改进持续集成/持续交付(CI/CD)管道、DevSecOps和多云环境的软件开发生命周期,我们需要在当今更复杂的安全计划中简化漏洞搜寻工作。
