katie moussouris警告说,Bug Boundies不是银弹
Home Office完成了在线系统注册欧盟公民的初步测试
Windows 10数据收集:你需要知道什么
优步可能会在美国联邦刑事探针下为其'Gryball'工具
eBay将印度操作折叠到当地零售商Flipkart
Microsoft揭示了数据Windows 10收集的数据
戴尔使用闪亮的新资产加强数据中心堆栈
富士通总裁说,创造力将确保人类不会被技术留下来留下。
不耐烦的Windows 10用户可以下载创建者更新4月5日
愚人节'2017年综述:这个恶作剧今年初开始
2019年,零售技术支出将在全球范围内增长3.6%,预测Gartner
Apple计划在12-18个月内揭示什么?
Gov.uk验证的麻烦传奇
来自新兴科技的首席执行官速率生产力“非常低”
每周包装:三星希望将页面与Galaxy S8转动
为什么AT&T的5G演变不是真的5G
关键Xen虚拟机管理程序漏洞危及虚拟化环境
十大东盟故事2018年
为什么亚波柱管理员和邮局在高等法院争取它
Linux基金会为构建区块链商业网络开发工具
三星击败苹果,因为眼睛转向iPhone 8
银行业领导Ciam创新,说大四
委任为技术委员会的妇女百分比持续20年
英国消费者威胁到数据泄露反弹
财务部门高要求的首席技术人员
微软推出了一系列相关的IOT相关产品
OpenReach越来越多地利用无人机来帮助建立纤维网络
Microsoft向Windows 10,Office 365致力于每年一次更新
准备好,设置,块!Windows 10创建者更新到达
信息专员要求更严格的政治使用规定数据
隐身MAC恶意软件间谍加密浏览器流量
Techuk CEO说,工业和政府必须合作推动数字经济。
talktalk使“公平宽带”承诺
金融服务巨头通过HCL转换申请交付
CCRC可以在邮局地平线试验之后抵消亚峰峰决定
Next.js 2.0与React,JavaScript更好地播放
excel for Windows终于获得了实时协作
一半的商业领袖没有意识到BPC网络攻击
Hellosign找到了数字化的圣杯,Hellosign
无人机软件为脱机农民实时图像
NHS标准框架旨在为质量和效率设定栏
Rubrik添加了Oracle,NoSQL和SAP HANA数据保护
消费者Sue Microsoft,声称Windows 10升级销毁数据,损坏的PC
大型MAC的本地成本决定了FATBOY赎金软件的赎金金额
Oracle看涨东盟的增长
澳大利亚政府的混合云删除供应商锁定
在粗糙的婚姻后,英特尔剥离迈克菲
第六型大学在火灾中重建了规模超融合后
Facebook将让公司在线浏览到现实世界的销售
经济推动CIO预算,如A.I.帮助IBM,摩根斯坦利说
您的位置:首页 >政策法规 >

katie moussouris警告说,Bug Boundies不是银弹

2021-08-17 13:44:18 [来源]:

根据Katie Mousouris,Luta Security的说法,黑客社区的成员对美国参议院有关互联网的脆弱性。

“当我们被邀请参见参议院和银行时,我们想到了我们的天真,如果我们刚刚向他们展示了漏洞是什么,他们就能解决他们,并且伟大的互联网蠕虫的年龄将结束。

“但我们不明白的是,部署战略要求不仅仅是黑客的帮助,”她在克拉科夫告诉2018年欧洲网络安全论坛。

但是,莫斯鲁斯的发生变化,它在2018年,谷歌统计显示,搜索词“Bug Bounty”为超过“渗透测试”的时间,表明Bug Bounties正在变得越来越受欢迎。

“你可能已经听说过那个Bug奖励是一个更便宜的人群中的安全性,虽然我帮助创建了微软的错误赏金程序和黑客五角大楼程序,我在这里告诉你,Bug奖金不是未来的解决方案, “ 她说。

虽然脆弱性披露是由ISO标准管理的正式过程,但Moussouris表示,Bug Bounties是一个可能或可能不会增强组织发现漏洞的能力的“可选激励”。

“渗透测试是漏洞的低风险方式,虽然它缺乏群体的吸引力,但它有着本质上,不披露协议,以尽量减少风险,并让您知道发生了什么,而且包括专业服务。“

警告进一步反对依靠Bug Bounties寻找漏洞,因此Moussouris表示,它并不像“打开门对黑客”那么简单,因为并非所有反应的人都必须友好和乐于助人。

“我与重新谈判Wassenaar安排有关的一些工作是解释,我们可以在对抗的骚扰和黑客攻击防范或黑客以指出安全漏洞,”她说,警告错误赏金计划中的“复杂数量”,尤其是数据安全性。

“优步数据违约5700万条记录是一个例子。他们的错误赏金上限为10,000美元,但优步支付了黑客100,000美元[删除数据并保持安静]。他们激励了对所有实际考虑的数据集合。

“他们的行为向愿意发挥的黑客发出了一条消息,愿意通过展示能够妥协数百万记录而不是一个例子来谈判更高的价格,而不是一个例子,”她说,并添加了这一点其他公司的类似行动令市场令人困惑。

Moussouris在呼吁采取行动的情况下,需要修复这种状况,以行动由人工智能(AI)技术的威胁​​强调。“如果我们无法处理我们今天知道的漏洞,并为已知漏洞应用补丁,我们在通过AI机器学习提高Bug狩猎的功能时,我们有什么希望的希望。”

莫斯鲁斯表示,博伊尔赏金不是一个神奇的修复,虽然Bug Bounty公司承诺他们将清洁虫子的饲料并模仿传统渗透测试的专业性,安全和风险厌恶,但它们缺少了分类的事实最困难的工作人员在信息安全中持续。

“即使在世界上所有的分类支持,有时候有太多的错误,后端基础设施就无法处理它,”她说,微软创建了它的错误赏金程序的原因之一是因为大量卷错误报告它得到了。

虽然Bug Bounty计划能够塑造并焦点黑客社区的注意,但报告量就像之前的计划减少后一样伟大。

Moussouris警告说,通过为漏洞提供现金奖励,Bug Bounty计划导致了一些“不断的激励措施”。

“在创造这个市场时,我们已经遇到了激励,而不是看完全面的照片,”她每周告诉电脑。

“Bug Bounties有一个角色扮演。正如我们在微软所做的那样,Bug奖励,即将激励激励在您想要发现安全问题的确切领域是一般的件好事,但如果您不明白谁可能拥有这些技能以及您可能想要的方式是一件坏事在整个劳动力方面使用它们。结果,这是一个糟糕的想法,只是为了使用高六个值,以特殊的技能寻求辛辛格,“她说。

在过去的一年里,Moussouris说,Bug Bounty支出的急剧增加。“以四分之一美元的价格为大笔支付 - 肯定是罕见的发现 - 但问题是你需要那些具有罕见技能的人想要申请在公司内部工作,而不是持续四分之一事实后的百万美元因为大自然为时已晚,特别是在施建筑问题时。

“我们不希望通过Bug Boundies找到下一个崩溃和幽灵。我们希望它被阻止在那些芯片公司内部。“

Moussouriis说,这对需要考虑未来安全性的组织的组织来造成严重损害技能管道的巨大潜力。

“在这些公司内部的招聘经理担心提供250,000美元的奖励,只有六个月的等候员,在本公司前雇员可以收集它们,他们将在事实上虐待自己的人才倾斜,”她说。

“我们必须认为这种”不断的激励“是一个真实的东西,违法行为将永远能够突出国防市场,所以我们不能专注于价格。”

另一个担心在她的演讲中强调的穆斯鲁斯是,支付错误已经成为一种“美德信令”的形式,可以认真对待安全。“正如我们看着未来,我会担心在谷歌搜索统计数据中看到的”错误赏金“一词更换”渗透测试“,”她说。

大多数Bug奖金都擅长寻找“低挂挂”的水果,说穆斯乌斯,凭借大多数Bug啤酒奖金,如越野脚本漏洞,这表明在过去20年中取得了很少的进步防止这种类型的漏洞。

“我对参议院的一件事给了他们关于未来的建议,是我们需要创建更多安全的编码器,而不是逐渐发出一遍又一遍地写同样错误的人,”她说,添加那个错误赏金主要找到这些错误,可以使用商业上可用的工具和甚至是免费工具,而不是更少的脆弱性,而且教导维护者的东西是新的,这是整个行业的方向应该进入。

“当组织考虑启动BUG赏金计划时,它们通常不会思考。他们没有思考如何防止这个地方的漏洞,他们如何加强内部团队,以帮助识别和阻止这些问题,以及如何吸引更多的人才来努力,而不是投入激励并希望获得最佳外部。”

在与英国国家网络安全中心(NCSC)的合作中,Mousouris表示,重点是在组织内建设能力。“我们不适用于这个想法,最终你将提供现金。它只是没有必要,因为微软的错误赏金没有增加他们收到的错误报告的错误数量,他们就会更加专注。“

她说,真相是,Bug奖金不是渗透测试的替代品,她警告零日漏洞的“过度浪漫主义”,一般来说,错误狩猎,无需为需要准备的整个劳动力未来。

“记住,需要成为所有安全公司的军队来处理这些信息,并能够用它做点什么,一旦修补程序出来,每个IT组织仍然必须部署它们。”

根据Moussouris的说法,研究表明,最有效的事情可以做的是,使用“特殊的工具”,捍卫者需要在任何卷,即进入的漏洞,使用“特殊的工具”来结束防守和违法行为之间的技能差距。

她说,任何运行Bug Bounty程序的组织都应该考虑侧重于黑客社区注意并将阈值放在适当位置,以便将其收到的报告数量降低到噪声比,并确保它们可以处理数量他们收到的报告。

在结束时,Moussouris重申警告,如果行业和政府继续超过浪漫的浪漫狩猎现金奖励,他们将使他们的未来劳动力摧毁。她还重申需要确保编码人员进行安全开发。

“我们需要谨慎地提出将Bug狩猎作为答案的举措,而是开始整体看劳动力市场。当我们期待未来时,我们需要寻找不仅仅是激励毁灭的机会,而是建立更多的弹性创作者并支持和庆祝维护者,而不是称之为“科学中最糟糕的工作”。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。