把現(xiàn)金零日不會(huì)解決這個(gè)問題:研究人員對(duì)國防如何平衡被打破了.遠(yuǎn)程控制軟件,灰鴿子

admin

把現(xiàn)金零日不會(huì)解決這個(gè)問題:研究人員對(duì)國防如何平衡被打破了.遠(yuǎn)程控制軟件,灰鴿子下載

政府和企業(yè)不能抑制零日漏洞往里砸錢的威脅問題,麻省理工學(xué)院和哈佛大學(xué)的研究人員以及信息安全公司HackerOne發(fā)現(xiàn)。
在博客上發(fā)表的題為“狼Vuln街”今天的會(huì)談在RSA會(huì)議上,下周HackerOne首席策略官凱蒂M(fèi)oussouris和麻省理工學(xué)院斯隆管理學(xué)院的邁克爾·西格爾博士提出了他們的研究他的經(jīng)濟(jì)市場零日漏洞的軟件。
一個(gè)零日漏洞是指一個(gè)產(chǎn)品的一個(gè)安全漏洞,其供應(yīng)商不知道,意思沒有可用的補(bǔ)丁。
Moussouris和西格爾進(jìn)行了一項(xiàng)針對(duì)零日市場的經(jīng)濟(jì)力量和想出了一個(gè)模型的市場行為。
他們發(fā)現(xiàn)這不是僅僅出于價(jià)格,和許多其他因素改變之間的力量平衡“進(jìn)攻”(黑市)和“國防”(技術(shù)供應(yīng)商)。
“不是所有的黑客主要是出于錢。即使是那些賣給政府,經(jīng)常這樣做有選擇性地,故意選擇,即使“另一邊”可能付給他們更多的錢,”他們寫道。
Bug賞金已經(jīng)成為更受歡迎的和有效的,但正如白帽黑客的股權(quán)和現(xiàn)金上漲,也有機(jī)會(huì)賣給黑市,研究人員發(fā)現(xiàn)。
然而,一些漏洞永遠(yuǎn)不會(huì)科技公司可以負(fù)擔(dān)得起的價(jià)格出售,他們寫道。
“進(jìn)攻買家(例如政府購買漏洞發(fā)起攻擊,監(jiān)視或使用執(zhí)法)能夠使用國防買家,所以后衛(wèi)希望獲得任何優(yōu)勢如何在這個(gè)市場?”他們寫道。
“后衛(wèi),有一個(gè)邏輯漏洞的價(jià)格上限,上面只有offense-use買家可以走。”
Moussouris和西格爾——一些人從麻省理工學(xué)院和哈佛大學(xué)——試圖揭示科技公司的最有效的方法減少零日漏洞如果價(jià)格就不會(huì)工作在黑市上獲得優(yōu)勢。
這個(gè)行業(yè)能做些什么呢?
Moussouris之前說讓技術(shù)供應(yīng)商的關(guān)鍵不僅是發(fā)現(xiàn)和修復(fù)盡可能多的缺陷,還專門找到并修復(fù)那些攻擊者使用,引用谷歌的零日狩獵計(jì)劃Project Zero作為例子，遠(yuǎn)程控制軟件，灰鴿子遠(yuǎn)程控制軟件，灰鴿子使用教程。
研究者說創(chuàng)造激勵(lì)自動(dòng)化工具和技術(shù)支持漏洞發(fā)現(xiàn)可能被證明是更有效的方式為科技公司“零日漏洞”排水進(jìn)攻儲(chǔ)備。
“后衛(wèi)可以更快流失漏洞的進(jìn)攻儲(chǔ)備時(shí)獲得更好的工具和技術(shù)漏洞的發(fā)現(xiàn),“他們發(fā)現(xiàn)。
“更成熟的供應(yīng)商應(yīng)該考慮增加他們的標(biāo)準(zhǔn)錯(cuò)誤賞金計(jì)劃包括特殊的激勵(lì)工具和技術(shù),幫助他們更有效地找到漏洞。”
個(gè)人技術(shù)公司應(yīng)該首先投資于自己的安全開發(fā)生命周期,然后看向個(gè)人錯(cuò)誤賞金抓住他們錯(cuò)過的任何漏洞,研究人員說。
”這也是一種找到偉大的后衛(wèi)與雇傭黑客的心態(tài),“Moussouris寫道。
“更成熟的技術(shù)供應(yīng)商應(yīng)該創(chuàng)建激勵(lì)工具和技術(shù)除了任何個(gè)人錯(cuò)誤賞金專門增加的速率能找到相同的錯(cuò)誤進(jìn)攻方面儲(chǔ)備。”
對(duì)于那些在政府負(fù)責(zé)防御的棘手的位置零日攻擊雖然進(jìn)攻同樣利用漏洞,研究人員表示,重點(diǎn)需要擴(kuò)大。
“給政策制定者目前爭論是否披露特定漏洞的供應(yīng)商把它固定保護(hù)國家安全,或?qū)⑵涮砑拥阶约旱倪M(jìn)攻儲(chǔ)備使用針對(duì)國內(nèi)目標(biāo)或其他國家,這是一個(gè)重要的問題,但不是最緊迫的問題,“Moussouris寫道：灰鴿子遠(yuǎn)程控制。
“談話應(yīng)該擴(kuò)大到包括在這個(gè)辯論的想法使得后衛(wèi)可用的工具和技術(shù)。”
許多offense-oriented黑客賣給政府說他們不使用工具對(duì)于大多數(shù)漏洞的發(fā)現(xiàn),她說。
“這只是因?yàn)樗麄兪鞘炀殹��?duì)不同技能水平的捍衛(wèi)者,工具是最有效的方式,試圖趕上。政府扮演的角色在防御和進(jìn)攻也應(yīng)該盡力幫助防守漏洞發(fā)現(xiàn)獲得更好的工具。”
“拔河比賽”攻擊者和捍衛(wèi)者之間總是存在,問題是該行業(yè)如何激勵(lì)對(duì)結(jié)構(gòu)使國防更有吸引力和進(jìn)攻更昂貴,Moussouris說。
“有更多的杠桿起決定性作用從一側(cè)到另一側(cè)不僅僅是錢,和后衛(wèi)需要開始使用它們。”
HackerOne是組織組成的一個(gè)財(cái)團(tuán)支持非盈利網(wǎng)絡(luò)錯(cuò)誤賞金,旨在改善至關(guān)重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
程序現(xiàn)在將擴(kuò)大到包括工具和技術(shù)援助的賞金漏洞發(fā)現(xiàn)和確定可利用性,該公司今天宣布。
“我們想鼓勵(lì)黑客向世界提供這些工具,以便后衛(wèi)可以擴(kuò)展他們的努力更有效,”Moussoris在她的文章里寫道。
“如果你想推薦一種工具或技術(shù)來賞金在這個(gè)項(xiàng)目擴(kuò)張,請(qǐng)包括鏈接工具普及和帳面價(jià)值,最好是指向錯(cuò)誤發(fā)現(xiàn)使用這個(gè)工具或技術(shù)來解決。”

suangke

消滅0回復(fù),我要搶沙發(fā)!…

一種思念_一種情

這里應(yīng)該加入點(diǎn)電視節(jié)目。