本文講的是 與其雇人殺蟲(chóng)不如購(gòu)買(mǎi)殺蟲(chóng)劑，安全管理人員應(yīng)該把錢(qián)花在獲取和構(gòu)建漏洞發(fā)現(xiàn)工具上，而不是大量扔錢(qián)養(yǎng)閑人或購(gòu)買(mǎi)無(wú)窮無(wú)盡的零日漏洞。

前微軟安全研究員、漏洞報(bào)告獎(jiǎng)勵(lì)平臺(tái)Hacker One首席策略官凱特·穆蘇里表示，新的研究表明安全防護(hù)者需要在工具上趕超那些領(lǐng)賞金的白帽黑客，因?yàn)樗麄冇肋h(yuǎn)不會(huì)有足夠的預(yù)算用于從白帽子灰帽子黑客市場(chǎng)上購(gòu)買(mǎi)重要的零日漏洞。

即使是政府這個(gè)漏洞大買(mǎi)家，也做不到一直買(mǎi)一直買(mǎi)一直買(mǎi)……

“對(duì)防御者來(lái)說(shuō)，想要抽干零日漏洞的攻擊儲(chǔ)備，激勵(lì)研發(fā)支持漏洞發(fā)現(xiàn)的工具是一個(gè)更有效率的方式。”在RSA的一次演講預(yù)演中穆蘇里如此說(shuō)道。

凱特·穆蘇里

“激勵(lì)更多的眼睛去尋找安全漏洞能幫助抽干攻擊儲(chǔ)備。尤其是在不怎么成熟的軟件上效果更加明顯。但是，如果一個(gè)組織把這事兒擺在明面上做，并且專注于防御，為漏洞發(fā)現(xiàn)提供6位數(shù)的獎(jiǎng)勵(lì)，且不區(qū)分獎(jiǎng)勵(lì)是針對(duì)成熟軟件還是非成熟軟件，那這事兒……可能就會(huì)產(chǎn)生相反的刺激效果了，尤其是對(duì)不怎么成熟的軟件而言。”

“想要在防御上占據(jù)上風(fēng)的關(guān)鍵，不在于找到并修復(fù)盡可能多的漏洞，而是在找出相同漏洞上面與攻擊方研究人員一較高下并修復(fù)這些漏洞。”

網(wǎng)絡(luò)漏洞發(fā)現(xiàn)關(guān)聯(lián)模型

關(guān)于她的方法，一個(gè)“極妙”的例子是谷歌的Project Zero計(jì)劃。這個(gè)計(jì)劃，簡(jiǎn)而言之，就是個(gè)互聯(lián)網(wǎng)漏洞閃電戰(zhàn)計(jì)劃。

研究發(fā)現(xiàn)，購(gòu)買(mǎi)和資金支持自動(dòng)漏洞發(fā)現(xiàn)和模糊測(cè)試工具的研發(fā)，是比在懶惰的安全研究員身上投錢(qián)，或?qū)⒋蠊P金錢(qián)花費(fèi)在坐等零日漏洞出現(xiàn)再購(gòu)買(mǎi)要好的方式。

有鑒于此，Hacker One 互聯(lián)網(wǎng)漏洞報(bào)告獎(jiǎng)勵(lì)平臺(tái)將會(huì)擴(kuò)展延伸，研發(fā)精妙又有用的自動(dòng)漏洞發(fā)現(xiàn)工具幫助防御者趕超資深漏洞獵手的人也將受到獎(jiǎng)勵(lì)。（https://hackerone.com/internet-bug-bounty）

將太多金錢(qián)投入到漏洞獎(jiǎng)勵(lì)上會(huì)抽干安全防御人才庫(kù)，因?yàn)楹诳蛡兏鼉A向于一年花上個(gè)兩周時(shí)間在游泳池邊悠閑挖漏洞，而不是苦逼地蹲在逼仄的辦公室里憋屈40多個(gè)星期上班。

在穆蘇里及其同事的反烏托邦式預(yù)測(cè)下，一旦獎(jiǎng)勵(lì)預(yù)算入不敷出，犯罪和攻擊市場(chǎng)將迅速搶購(gòu)最貴的漏洞。

她和麻省理工學(xué)院和哈福大學(xué)的邁克爾·西格爾博士、 詹姆士·霍頓博士及瑞恩·埃利斯博士一起開(kāi)發(fā)了“世界上第一個(gè)”系統(tǒng)動(dòng)態(tài)模型。該模型將于下周的RSA大會(huì)上展示。

此研發(fā)團(tuán)隊(duì)主張，防御者需要更好的工具來(lái)發(fā)現(xiàn)零日漏洞，讓他們的漏洞獎(jiǎng)勵(lì)基金能夠應(yīng)付在產(chǎn)品推出后立即開(kāi)始的“高風(fēng)險(xiǎn)”漏洞競(jìng)賽。

一言以蔽之，投資安全研發(fā)生命周期比單純的漏洞獎(jiǎng)勵(lì)來(lái)得好。

漏洞報(bào)告獎(jiǎng)勵(lì)耗干預(yù)算，開(kāi)發(fā)檢測(cè)工具才是王道！”

原文發(fā)布時(shí)間為：五月 1, 2015
本文作者：nana
本文來(lái)自云棲社區(qū)合作伙伴安全牛，了解相關(guān)信息可以關(guān)注安全牛。
原文鏈接：http://www.aqniu.com/industry/7557.html

總結(jié)

以上是生活随笔為你收集整理的与其雇人杀虫不如购买杀虫剂的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。