freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

CSO观点:企业建立漏洞奖励计划,就足够了吗?
2017-01-12 12:07:04

Clipboard Image.png

这是近期在HackerOne平台上发布的漏洞奖励计划

各位黑客只需要找出Nintendo 3DS系统(用于存储玩家个人信息和购买信息的服务系统)中的一个安全漏洞,我们就会向你提供现金奖励。我们会根据漏洞的严重程度提供金额不等的奖金,请广大黑客朋友一定要按照我们提供的报告模版来提交漏洞。

看到这一则消息,不知道各位同学有没有想过,这家日本科技公司为什么要设立这样的一种漏洞奖励计划呢?为什么这些漏洞这么值钱?而且公司自己也有安全团队,那么他们为什么还要这样做呢?

大家都知道,像苹果、Uber和Yelp等公司都设立了各自的漏洞奖励计划。之前有一篇报道称,如果你可以在新款iPhone中找出安全漏洞并且成功利用漏洞的话,苹果公司将会给你提供20万美金的漏洞奖励,这无疑能对互联网上的白帽子们产生极大吸引力。

OneLogin公司的首席安全官Alvaro Hoyos在接受采访时表示:

漏洞奖励计划的一个主要优势就在于,它不仅可以让研究人员像恶意黑客一样去思考并且尝试找出目标系统中存在的安全漏洞,而且还可以帮助你发现那些渗透测试团队无法识别的内部和外部安全问题。这不仅仅是心态方面的问题,漏洞奖励计划还可以让更多的安全人员来检测你系统的安全质量。”

漏洞奖金之所以会不断提高,主要是因为安全社区的地位正在不断提升,白帽子的作用也在逐渐凸显出来。而在国外,针对单个漏洞所提供的奖励高达3000至5000美金不等,他们曾给予过金额最高的奖励为2万5千美金。

建立漏洞奖励计划,只是个开始……

很多企业并不会一直对外提供漏洞奖励计划,其中一个原因在于他们很难去对不同的漏洞设定相应的奖金。如果奖金数额有问题,将有可能导致企业与研究人员之间出现一些不愉快的事情。企业必须妥善处理研究人员提交上来的漏洞信息,并且还要及时予以回应。你必须设立专职人员去处理这些提交上来的漏洞,然后评估漏洞的安全风险,而黑客们可没有那么多耐心去等你走完公司各种各样的繁琐流程。更糟糕的是,目前很多企业在信息安全方面投入的预算仍然很低。

而如果公司设立了漏洞奖励计划,而你却没有足够的资源去及时响应白帽子们提交上来的漏洞——那么从理论上来说,时间拖得越久,漏洞被提前曝光的可能性就越大。包括恶意攻击者在内的第三方一旦提前得到了漏洞信息,那么事情可就麻烦大了。与此同时,漏洞审核、漏洞评级、奖金发放、礼物寄送、开展活动……后期的投入的巨大,远远超出企业建立SRC的“美好初衷”

Clipboard Image.png

有了漏洞奖励计划,就不需要第三方安全服务了吗?

很多企业会将自己的安全押宝在建SRC、设漏洞奖励计划的身上,而不是愿意组建安全团队或购买专业的第三方安全服务,有这种想法对企业安全而言是相当可怕的。

如果一家企业真的只打算依赖漏洞奖励计划,基本也就说明了公司管理层对企业安全防御一窍不通——收集漏洞并不等于安全测试,在这种情况下企业在面对恶意攻击时将会手足无措,漏洞奖励计划对这些公司来说其实也不会发生太大的作用。漏洞奖励计划只能够作为企业网络安全防御方案的其中一个部分,只有在企业部署了强大的安全防护机制之后,漏洞奖励计划才能发挥其应有的作用。

另一个值得关注的一点就是,虽然漏洞奖励计划总体给出的奖励金额正在不断上涨,但是实际给予单个漏洞的金额却呈现下降趋势。就拿Uber来说,Uber自推出漏洞奖励计划之后,总共已经支付了约82万美元的漏洞奖金,但是单个漏洞的奖励只有750至1000美金左右。不过根据安全研究人员的预测,2017年大型企业支付给一个0day漏洞的奖金很有可能会超过七位数。

* 参考来源:csoonline,Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞奖励计划
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑