【.com快译】很多公司都明白漏洞赏金计划只是做好安全工作的一方面。软件漏洞赏金是一项大生意,越来越多的公司向研究人员、开发人员和黑客支付巨额奖金,以发现其操作系统、代码或应用程序中的漏洞。好处很明显:在恶意团体或公众之前发现漏洞,并适当修复它们。今年夏天,Apple宣布向发现iPhone安全漏洞的研究人员提供高达100万美元的奖金。此前,Apple只向试图发现手机和云备份漏洞的受邀研究人员提供奖金,但现在每个人都可以参与。许多大公司现在都有漏洞赏金计划,包括苹果、谷歌、Facebook、雅虎、微软甚至美国国防部。然而,安全观察员表示,漏洞赏金计划并不总是灵丹妙药,组织不应认为实施赏金计划意味着他们在保护组织方面已经完成了功课。EnterpriseStrategyGroup(ESG)网络安全服务首席分析师克里斯蒂娜·里士满(ChristinaRichmond)表示:“组织是否提供漏洞赏金计划,而不必担心其他任何事情?答案是否定的。”除了提供发现安全漏洞的赏金外,组织还应尽可能频繁地进行持续测试、漏洞扫描和渗透测试。不完全依赖漏洞赏金的原因之一是赏金猎人的诚信。组织并不总是知道他们是在与使用合法手段搜索、查找和披露漏洞的“白帽”或道德黑客打交道,还是在与试图闯入网络或系统的恶意企图的“黑帽”黑客打交道。2019年夏季ESG对220名安全专业人士进行的一项调查发现,近四分之一(23%)的受访者表示他们使用漏洞赏金等众包安全服务。调查发现,大多数使用众包安全的人认为,众包安全利用白帽安全研究人员来查找和消除最严重的攻击向量中的漏洞:服务器/云、移动和物联网平台Web和应用程序编程接口。寻找漏洞的成本赏金猎人并不便宜。由网络安全公司HackerOne运营的非营利组织Hactivity表示,根据软件安全漏洞的严重程度,它会向成功的漏洞发现者支付500到50,000美元。凯文·柯伦(KevinCurran)是北爱尔兰阿尔斯特大学的网络安全教授、该大学法律创新中心的执行联席主任以及环境情报和虚拟世界研究机构的负责人。“主要问题是成本。要运行一个成功的漏洞赏金计划,你需要提供有竞争力的价格,”这位IEEE高级成员说。否则,漏洞可能会被黑客利用。Curran说,另一个问题是很难找到合格的安全专业人员来参与这些计划。此外,时间可能会浪费在没有发现任何漏洞的错误赏金上。LutaSecurityMoussouris的创始人兼首席执行官Katie建议在公司尝试充分利用漏洞赏金计划之前聘请内部人员或安全顾问,因为有些漏洞很常见且很容易找到。虽然她认为漏洞赏金计划有其价值,但它们本身并不是适当的风险管理“如果漏洞赏金计划能够填补所有漏洞,大多数组织可以自己找到大部分漏洞,因为某些类型的漏洞很容易被发现识别,”Moussouris说。这些计划也没有效果。根据专门从事漏洞情报、违规数据和风险评级的公司RiskBasedSecurity的数据,2018年近8%的公共漏洞是通过漏洞赏金计划发现的,高于2017年的5.8%。然而,漏洞赏金的流行程度继续上升。超过300,000名黑客已在HackerOne上注册成为赏金猎人。此外,ESG调查发现,88%的受访者认为漏洞赏金服务提供了“经过高度审查、值得信赖的安全研究人员。”一家想要确保其全面安全的公司应该制定安全法规,并进行自动安全扫描和某种类型的渗透测试,”Moussouris说。“一个运作良好的安全团队可以主动预防、检测和修复‘容易找到’的漏洞,可以从漏洞奖励中受益,以解决更困难的问题。Richmond还表示:“我喜欢扩大范围……无论是依赖人的测试(例如漏洞赏金),还是泄漏和攻击模拟。”ESG提倡采用一种称为连续自动渗透和攻击测试(CAPAT)的技术。在使用漏洞赏金时,公司应该明确他们的目标。“漏洞赏金会在几个方面有所不同,因此公司应该概述他们希望赏金猎人关注的方面,例如硬件、网络、WebAPI或数据库后端。Curran说,许多高价值的安全漏洞报告漏洞赏金计划是由少数参与这些计划的人发现的,但他认为,漏洞赏金计划的使用最终有益于所有愿意支付必要费用的“专业公司”。“简短的回答是漏洞赏金是物有所值的,可能在任何情况下,”他说。标题:BugBounties:BigBusinessbyEstherShein原译者和来源是.com]
