katie moussouris警告说,Bug Boundies不是银弹
根据Katie Mousouris,Luta Security的说法,黑客社区的成员对美国参议院有关互联网的脆弱性。
“当我们被邀请参见参议院和银行时,我们想到了我们的天真,如果我们刚刚向他们展示了漏洞是什么,他们就能解决他们,并且伟大的互联网蠕虫的年龄将结束。
“但我们不明白的是,部署战略要求不仅仅是黑客的帮助,”她在克拉科夫告诉2018年欧洲网络安全论坛。
但是,莫斯鲁斯的发生变化,它在2018年,谷歌统计显示,搜索词“Bug Bounty”为超过“渗透测试”的时间,表明Bug Bounties正在变得越来越受欢迎。
“你可能已经听说过那个Bug奖励是一个更便宜的人群中的安全性,虽然我帮助创建了微软的错误赏金程序和黑客五角大楼程序,我在这里告诉你,Bug奖金不是未来的解决方案, “ 她说。
虽然脆弱性披露是由ISO标准管理的正式过程,但Moussouris表示,Bug Bounties是一个可能或可能不会增强组织发现漏洞的能力的“可选激励”。
“渗透测试是漏洞的低风险方式,虽然它缺乏群体的吸引力,但它有着本质上,不披露协议,以尽量减少风险,并让您知道发生了什么,而且包括专业服务。“
警告进一步反对依靠Bug Bounties寻找漏洞,因此Moussouris表示,它并不像“打开门对黑客”那么简单,因为并非所有反应的人都必须友好和乐于助人。
“我与重新谈判Wassenaar安排有关的一些工作是解释,我们可以在对抗的骚扰和黑客攻击防范或黑客以指出安全漏洞,”她说,警告错误赏金计划中的“复杂数量”,尤其是数据安全性。
“优步数据违约5700万条记录是一个例子。他们的错误赏金上限为10,000美元,但优步支付了黑客100,000美元[删除数据并保持安静]。他们激励了对所有实际考虑的数据集合。
“他们的行为向愿意发挥的黑客发出了一条消息,愿意通过展示能够妥协数百万记录而不是一个例子来谈判更高的价格,而不是一个例子,”她说,并添加了这一点其他公司的类似行动令市场令人困惑。
Moussouris在呼吁采取行动的情况下,需要修复这种状况,以行动由人工智能(AI)技术的威胁强调。“如果我们无法处理我们今天知道的漏洞,并为已知漏洞应用补丁,我们在通过AI机器学习提高Bug狩猎的功能时,我们有什么希望的希望。”
莫斯鲁斯表示,博伊尔赏金不是一个神奇的修复,虽然Bug Bounty公司承诺他们将清洁虫子的饲料并模仿传统渗透测试的专业性,安全和风险厌恶,但它们缺少了分类的事实最困难的工作人员在信息安全中持续。
“即使在世界上所有的分类支持,有时候有太多的错误,后端基础设施就无法处理它,”她说,微软创建了它的错误赏金程序的原因之一是因为大量卷错误报告它得到了。
虽然Bug Bounty计划能够塑造并焦点黑客社区的注意,但报告量就像之前的计划减少后一样伟大。
Moussouris警告说,通过为漏洞提供现金奖励,Bug Bounty计划导致了一些“不断的激励措施”。
“在创造这个市场时,我们已经遇到了激励,而不是看完全面的照片,”她每周告诉电脑。
“Bug Bounties有一个角色扮演。正如我们在微软所做的那样,Bug奖励,即将激励激励在您想要发现安全问题的确切领域是一般的件好事,但如果您不明白谁可能拥有这些技能以及您可能想要的方式是一件坏事在整个劳动力方面使用它们。结果,这是一个糟糕的想法,只是为了使用高六个值,以特殊的技能寻求辛辛格,“她说。
在过去的一年里,Moussouris说,Bug Bounty支出的急剧增加。“以四分之一美元的价格为大笔支付 - 肯定是罕见的发现 - 但问题是你需要那些具有罕见技能的人想要申请在公司内部工作,而不是持续四分之一事实后的百万美元因为大自然为时已晚,特别是在施建筑问题时。
“我们不希望通过Bug Boundies找到下一个崩溃和幽灵。我们希望它被阻止在那些芯片公司内部。“
Moussouriis说,这对需要考虑未来安全性的组织的组织来造成严重损害技能管道的巨大潜力。
“在这些公司内部的招聘经理担心提供250,000美元的奖励,只有六个月的等候员,在本公司前雇员可以收集它们,他们将在事实上虐待自己的人才倾斜,”她说。
“我们必须认为这种”不断的激励“是一个真实的东西,违法行为将永远能够突出国防市场,所以我们不能专注于价格。”
另一个担心在她的演讲中强调的穆斯鲁斯是,支付错误已经成为一种“美德信令”的形式,可以认真对待安全。“正如我们看着未来,我会担心在谷歌搜索统计数据中看到的”错误赏金“一词更换”渗透测试“,”她说。
大多数Bug奖金都擅长寻找“低挂挂”的水果,说穆斯乌斯,凭借大多数Bug啤酒奖金,如越野脚本漏洞,这表明在过去20年中取得了很少的进步防止这种类型的漏洞。
“我对参议院的一件事给了他们关于未来的建议,是我们需要创建更多安全的编码器,而不是逐渐发出一遍又一遍地写同样错误的人,”她说,添加那个错误赏金主要找到这些错误,可以使用商业上可用的工具和甚至是免费工具,而不是更少的脆弱性,而且教导维护者的东西是新的,这是整个行业的方向应该进入。
“当组织考虑启动BUG赏金计划时,它们通常不会思考。他们没有思考如何防止这个地方的漏洞,他们如何加强内部团队,以帮助识别和阻止这些问题,以及如何吸引更多的人才来努力,而不是投入激励并希望获得最佳外部。”
在与英国国家网络安全中心(NCSC)的合作中,Mousouris表示,重点是在组织内建设能力。“我们不适用于这个想法,最终你将提供现金。它只是没有必要,因为微软的错误赏金没有增加他们收到的错误报告的错误数量,他们就会更加专注。“
她说,真相是,Bug奖金不是渗透测试的替代品,她警告零日漏洞的“过度浪漫主义”,一般来说,错误狩猎,无需为需要准备的整个劳动力未来。
“记住,需要成为所有安全公司的军队来处理这些信息,并能够用它做点什么,一旦修补程序出来,每个IT组织仍然必须部署它们。”
根据Moussouris的说法,研究表明,最有效的事情可以做的是,使用“特殊的工具”,捍卫者需要在任何卷,即进入的漏洞,使用“特殊的工具”来结束防守和违法行为之间的技能差距。
她说,任何运行Bug Bounty程序的组织都应该考虑侧重于黑客社区注意并将阈值放在适当位置,以便将其收到的报告数量降低到噪声比,并确保它们可以处理数量他们收到的报告。
在结束时,Moussouris重申警告,如果行业和政府继续超过浪漫的浪漫狩猎现金奖励,他们将使他们的未来劳动力摧毁。她还重申需要确保编码人员进行安全开发。
“我们需要谨慎地提出将Bug狩猎作为答案的举措,而是开始整体看劳动力市场。当我们期待未来时,我们需要寻找不仅仅是激励毁灭的机会,而是建立更多的弹性创作者并支持和庆祝维护者,而不是称之为“科学中最糟糕的工作”。“