本文講的是 與其雇人殺蟲不如購買殺蟲劑，安全管理人員應該把錢花在獲取和構建漏洞發現工具上，而不是大量扔錢養閑人或購買無窮無盡的零日漏洞。

前微軟安全研究員、漏洞報告獎勵平臺Hacker One首席策略官凱特·穆蘇里表示，新的研究表明安全防護者需要在工具上趕超那些領賞金的白帽黑客，因為他們永遠不會有足夠的預算用于從白帽子灰帽子黑客市場上購買重要的零日漏洞。

即使是政府這個漏洞大買家，也做不到一直買一直買一直買……

“對防御者來說，想要抽干零日漏洞的攻擊儲備，激勵研發支持漏洞發現的工具是一個更有效率的方式?！痹赗SA的一次演講預演中穆蘇里如此說道。

凱特·穆蘇里

“激勵更多的眼睛去尋找安全漏洞能幫助抽干攻擊儲備。尤其是在不怎么成熟的軟件上效果更加明顯。但是，如果一個組織把這事兒擺在明面上做，并且專注于防御，為漏洞發現提供6位數的獎勵，且不區分獎勵是針對成熟軟件還是非成熟軟件，那這事兒……可能就會產生相反的刺激效果了，尤其是對不怎么成熟的軟件而言?！?/p>

“想要在防御上占據上風的關鍵，不在于找到并修復盡可能多的漏洞，而是在找出相同漏洞上面與攻擊方研究人員一較高下并修復這些漏洞?！?/p>

網絡漏洞發現關聯模型

關于她的方法，一個“極妙”的例子是谷歌的Project Zero計劃。這個計劃，簡而言之，就是個互聯網漏洞閃電戰計劃。

研究發現，購買和資金支持自動漏洞發現和模糊測試工具的研發，是比在懶惰的安全研究員身上投錢，或將大筆金錢花費在坐等零日漏洞出現再購買要好的方式。

有鑒于此，Hacker One 互聯網漏洞報告獎勵平臺將會擴展延伸，研發精妙又有用的自動漏洞發現工具幫助防御者趕超資深漏洞獵手的人也將受到獎勵。（https://hackerone.com/internet-bug-bounty）

將太多金錢投入到漏洞獎勵上會抽干安全防御人才庫，因為黑客們更傾向于一年花上個兩周時間在游泳池邊悠閑挖漏洞，而不是苦逼地蹲在逼仄的辦公室里憋屈40多個星期上班。

在穆蘇里及其同事的反烏托邦式預測下，一旦獎勵預算入不敷出，犯罪和攻擊市場將迅速搶購最貴的漏洞。

她和麻省理工學院和哈福大學的邁克爾·西格爾博士、 詹姆士·霍頓博士及瑞恩·埃利斯博士一起開發了“世界上第一個”系統動態模型。該模型將于下周的RSA大會上展示。

此研發團隊主張，防御者需要更好的工具來發現零日漏洞，讓他們的漏洞獎勵基金能夠應付在產品推出后立即開始的“高風險”漏洞競賽。

一言以蔽之，投資安全研發生命周期比單純的漏洞獎勵來得好。

漏洞報告獎勵耗干預算，開發檢測工具才是王道！”

原文發布時間為：五月 1, 2015
本文作者：nana
本文來自云棲社區合作伙伴安全牛，了解相關信息可以關注安全牛。
原文鏈接：http://www.aqniu.com/industry/7557.html

總結

以上是生活随笔為你收集整理的与其雇人杀虫不如购买杀虫剂的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。