|
|
把現(xiàn)金零日不會解決這個問題:研究人員對國防如何平衡被打破了.遠程控制軟件,灰鴿子下載
1.jpg (30.61 KB, 下載次數(shù): 547)
下載附件
2015-4-15 13:44 上傳
政府和企業(yè)不能抑制零日漏洞往里砸錢的威脅問題,麻省理工學(xué)院和哈佛大學(xué)的研究人員以及信息安全公司HackerOne發(fā)現(xiàn)。
在博客上發(fā)表的題為“狼Vuln街”今天的會談在RSA會議上,下周HackerOne首席策略官凱蒂Moussouris和麻省理工學(xué)院斯隆管理學(xué)院的邁克爾·西格爾博士提出了他們的研究他的經(jīng)濟市場零日漏洞的軟件。
一個零日漏洞是指一個產(chǎn)品的一個安全漏洞,其供應(yīng)商不知道,意思沒有可用的補丁。
Moussouris和西格爾進行了一項針對零日市場的經(jīng)濟力量和想出了一個模型的市場行為。
他們發(fā)現(xiàn)這不是僅僅出于價格,和許多其他因素改變之間的力量平衡“進攻”(黑市)和“國防”(技術(shù)供應(yīng)商)。
“不是所有的黑客主要是出于錢。即使是那些賣給政府,經(jīng)常這樣做有選擇性地,故意選擇,即使“另一邊”可能付給他們更多的錢,”他們寫道。
Bug賞金已經(jīng)成為更受歡迎的和有效的,但正如白帽黑客的股權(quán)和現(xiàn)金上漲,也有機會賣給黑市,研究人員發(fā)現(xiàn)。
然而,一些漏洞永遠不會科技公司可以負擔(dān)得起的價格出售,他們寫道。
“進攻買家(例如政府購買漏洞發(fā)起攻擊,監(jiān)視或使用執(zhí)法)能夠使用國防買家,所以后衛(wèi)希望獲得任何優(yōu)勢如何在這個市場?”他們寫道。
“后衛(wèi),有一個邏輯漏洞的價格上限,上面只有offense-use買家可以走。”
Moussouris和西格爾——一些人從麻省理工學(xué)院和哈佛大學(xué)——試圖揭示科技公司的最有效的方法減少零日漏洞如果價格就不會工作在黑市上獲得優(yōu)勢。
這個行業(yè)能做些什么呢?
Moussouris之前說讓技術(shù)供應(yīng)商的關(guān)鍵不僅是發(fā)現(xiàn)和修復(fù)盡可能多的缺陷,還專門找到并修復(fù)那些攻擊者使用,引用谷歌的零日狩獵計劃Project Zero作為例子,遠程控制軟件,灰鴿子遠程控制軟件,灰鴿子使用教程。
研究者說創(chuàng)造激勵自動化工具和技術(shù)支持漏洞發(fā)現(xiàn)可能被證明是更有效的方式為科技公司“零日漏洞”排水進攻儲備。
“后衛(wèi)可以更快流失漏洞的進攻儲備時獲得更好的工具和技術(shù)漏洞的發(fā)現(xiàn),“他們發(fā)現(xiàn)。
“更成熟的供應(yīng)商應(yīng)該考慮增加他們的標(biāo)準錯誤賞金計劃包括特殊的激勵工具和技術(shù),幫助他們更有效地找到漏洞。”
個人技術(shù)公司應(yīng)該首先投資于自己的安全開發(fā)生命周期,然后看向個人錯誤賞金抓住他們錯過的任何漏洞,研究人員說。
”這也是一種找到偉大的后衛(wèi)與雇傭黑客的心態(tài),“Moussouris寫道。
“更成熟的技術(shù)供應(yīng)商應(yīng)該創(chuàng)建激勵工具和技術(shù)除了任何個人錯誤賞金專門增加的速率能找到相同的錯誤進攻方面儲備。”
對于那些在政府負責(zé)防御的棘手的位置零日攻擊雖然進攻同樣利用漏洞,研究人員表示,重點需要擴大。
“給政策制定者目前爭論是否披露特定漏洞的供應(yīng)商把它固定保護國家安全,或?qū)⑵涮砑拥阶约旱倪M攻儲備使用針對國內(nèi)目標(biāo)或其他國家,這是一個重要的問題,但不是最緊迫的問題,“Moussouris寫道:灰鴿子遠程控制。
“談話應(yīng)該擴大到包括在這個辯論的想法使得后衛(wèi)可用的工具和技術(shù)。”
許多offense-oriented黑客賣給政府說他們不使用工具對于大多數(shù)漏洞的發(fā)現(xiàn),她說。
“這只是因為他們是熟練。對不同技能水平的捍衛(wèi)者,工具是最有效的方式,試圖趕上。政府扮演的角色在防御和進攻也應(yīng)該盡力幫助防守漏洞發(fā)現(xiàn)獲得更好的工具。”
“拔河比賽”攻擊者和捍衛(wèi)者之間總是存在,問題是該行業(yè)如何激勵對結(jié)構(gòu)使國防更有吸引力和進攻更昂貴,Moussouris說。
“有更多的杠桿起決定性作用從一側(cè)到另一側(cè)不僅僅是錢,和后衛(wèi)需要開始使用它們。”
HackerOne是組織組成的一個財團支持非盈利網(wǎng)絡(luò)錯誤賞金,旨在改善至關(guān)重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
程序現(xiàn)在將擴大到包括工具和技術(shù)援助的賞金漏洞發(fā)現(xiàn)和確定可利用性,該公司今天宣布。
“我們想鼓勵黑客向世界提供這些工具,以便后衛(wèi)可以擴展他們的努力更有效,”Moussoris在她的文章里寫道。
“如果你想推薦一種工具或技術(shù)來賞金在這個項目擴張,請包括鏈接工具普及和帳面價值,最好是指向錯誤發(fā)現(xiàn)使用這個工具或技術(shù)來解決。” |
|
加載中...
發(fā)表于 2015-4-15 13:45:16
QQ好友和群
收藏
發(fā)表于 2015-4-15 13:45:19