把現金零日不會解決這個問題:研究人員對國防如何平衡被打破了.遠程控制軟件,灰鴿子

admin

把現金零日不會解決這個問題:研究人員對國防如何平衡被打破了.遠程控制軟件,灰鴿子下載

政府和企業不能抑制零日漏洞往里砸錢的威脅問題,麻省理工學院和哈佛大學的研究人員以及信息安全公司HackerOne發現。
在博客上發表的題為“狼Vuln街”今天的會談在RSA會議上,下周HackerOne首席策略官凱蒂Moussouris和麻省理工學院斯隆管理學院的邁克爾·西格爾博士提出了他們的研究他的經濟市場零日漏洞的軟件。
一個零日漏洞是指一個產品的一個安全漏洞,其供應商不知道,意思沒有可用的補丁。
Moussouris和西格爾進行了一項針對零日市場的經濟力量和想出了一個模型的市場行為。
他們發現這不是僅僅出于價格,和許多其他因素改變之間的力量平衡“進攻”(黑市)和“國防”(技術供應商)。
“不是所有的黑客主要是出于錢。即使是那些賣給政府,經常這樣做有選擇性地,故意選擇,即使“另一邊”可能付給他們更多的錢,”他們寫道。
Bug賞金已經成為更受歡迎的和有效的,但正如白帽黑客的股權和現金上漲,也有機會賣給黑市,研究人員發現。
然而,一些漏洞永遠不會科技公司可以負擔得起的價格出售,他們寫道。
“進攻買家(例如政府購買漏洞發起攻擊,監視或使用執法)能夠使用國防買家,所以后衛希望獲得任何優勢如何在這個市場?”他們寫道。
“后衛,有一個邏輯漏洞的價格上限,上面只有offense-use買家可以走。”
Moussouris和西格爾——一些人從麻省理工學院和哈佛大學——試圖揭示科技公司的最有效的方法減少零日漏洞如果價格就不會工作在黑市上獲得優勢。
這個行業能做些什么呢?
Moussouris之前說讓技術供應商的關鍵不僅是發現和修復盡可能多的缺陷,還專門找到并修復那些攻擊者使用,引用谷歌的零日狩獵計劃Project Zero作為例子，遠程控制軟件，灰鴿子遠程控制軟件，灰鴿子使用教程。
研究者說創造激勵自動化工具和技術支持漏洞發現可能被證明是更有效的方式為科技公司“零日漏洞”排水進攻儲備。
“后衛可以更快流失漏洞的進攻儲備時獲得更好的工具和技術漏洞的發現,“他們發現。
“更成熟的供應商應該考慮增加他們的標準錯誤賞金計劃包括特殊的激勵工具和技術,幫助他們更有效地找到漏洞。”
個人技術公司應該首先投資于自己的安全開發生命周期,然后看向個人錯誤賞金抓住他們錯過的任何漏洞,研究人員說。
”這也是一種找到偉大的后衛與雇傭黑客的心態,“Moussouris寫道。
“更成熟的技術供應商應該創建激勵工具和技術除了任何個人錯誤賞金專門增加的速率能找到相同的錯誤進攻方面儲備。”
對于那些在政府負責防御的棘手的位置零日攻擊雖然進攻同樣利用漏洞,研究人員表示,重點需要擴大。
“給政策制定者目前爭論是否披露特定漏洞的供應商把它固定保護國家安全,或將其添加到自己的進攻儲備使用針對國內目標或其他國家,這是一個重要的問題,但不是最緊迫的問題,“Moussouris寫道：灰鴿子遠程控制。
“談話應該擴大到包括在這個辯論的想法使得后衛可用的工具和技術。”
許多offense-oriented黑客賣給政府說他們不使用工具對于大多數漏洞的發現,她說。
“這只是因為他們是熟練。對不同技能水平的捍衛者,工具是最有效的方式,試圖趕上。政府扮演的角色在防御和進攻也應該盡力幫助防守漏洞發現獲得更好的工具。”
“拔河比賽”攻擊者和捍衛者之間總是存在,問題是該行業如何激勵對結構使國防更有吸引力和進攻更昂貴,Moussouris說。
“有更多的杠桿起決定性作用從一側到另一側不僅僅是錢,和后衛需要開始使用它們。”
HackerOne是組織組成的一個財團支持非盈利網絡錯誤賞金,旨在改善至關重要的網絡基礎設施。
程序現在將擴大到包括工具和技術援助的賞金漏洞發現和確定可利用性,該公司今天宣布。
“我們想鼓勵黑客向世界提供這些工具,以便后衛可以擴展他們的努力更有效,”Moussoris在她的文章里寫道。
“如果你想推薦一種工具或技術來賞金在這個項目擴張,請包括鏈接工具普及和帳面價值,最好是指向錯誤發現使用這個工具或技術來解決。”

suangke

消滅0回復,我要搶沙發!…

一種思念_一種情

這里應該加入點電視節目。