攻擊者發起攻擊,但並不意味著我們需要把鑰匙交給他們。雖然沒有哪個連接網際網路的代碼或系統敢聲稱自己不會被攻擊,但保護代碼的最佳方法之一可能是邀請攻擊者過來:正確類型的攻擊者。
根據HackerOne的最新報告發現,「駭客怪客賞金計畫越來越被多地視為保護公共部門數字資產的關鍵」,美國國防部等都在通過賞金計畫來抵禦惡意攻擊者。據報導,好消息是,賞金計畫正在帶來切實的成果。
敵人的敵人最好懂得代碼
根據HackerOne表示,「通過駭客怪客驅動的安全測試,企業可在道德駭客怪客社區的幫助下更快識別高價值漏洞。」雖然我們一直在爭論專有或開源代碼哪個更安全,但現實是所有代碼本質上都不安全。
因此,這裡的關鍵不是編寫完美的代碼,這不可能實現,而是以正確的方式編寫和破解代碼,即漏洞可快速被清除的方式。這是開源如此受歡迎的原因之一:更安全與否,它提供更快的漏洞發現和修復。
近年來,HackerOne等公司運行的漏洞獎勵計畫給企業帶來更多希望,讓企業可通過安全的方式邀請開發人員來檢查其代碼中是否存在未知風險,而不是等待下一個Wannacry綁架你的系統,這似乎是非常昂貴的代價。
事實上,很多針對企業代碼最惡劣的攻擊都是利用開源(Shellshock)或專有軟軟體/協議中的漏洞,這也是Wannacry的方式。在很多情況下,系統因純粹的懶惰而暴露:IT根本沒有部署適當的安全政策,或者沒有修復發現的漏洞。Wannacry和Conficker都是純粹的機會主義威脅,這其實很容易被阻止。換句話說,有時候你的代碼有漏洞,而有時候是你的安全做法有問題。
無論哪種情況,讓白帽友好的駭客怪客進入你的代碼(以及網路)以在黑帽駭客怪客之前發現問題,這是聰明的做法。
白帽vs黑帽駭客怪客
根據對800個駭客怪客安全計畫進行調查,以及全球2000家最大企業披露的數據收集,HackerOne發現這些結果:
1. 不只是技術行業:雖然2016年超過半數的漏洞賞金計畫是在技術公司,但41%是來自其他行業。政府、媒體和娛樂、金融服務業、銀行業、電子商務和零售業均呈同比增長。
2. 變得越來越好:在2017年,對安全問題的第一次響應平均時間是6天,而2016年是7天。電子商務和零售行業在4週內修復安全問題,平均最快。
3. 好計畫吸引最好駭客怪客:最快確認、驗證和解決提交漏洞的計畫是最吸引駭客怪客的計畫。
4. 賞金不斷增加:在2017年,因關鍵漏洞支付給駭客怪客的平均獎金是1923美元,在2015年為1624美元,增加16%。頂級漏洞賞金級豪華平均每個月獎勵駭客怪客5萬美元,有的每年支付90萬美元。
5. 頂級公司仍然想要保持機密:儘管漏洞賞金計畫越來越廣泛,仍然有94%的上市公司沒有漏洞披露政策,與2015年一樣。
6. 企業最關心安全漏洞:73%受訪客戶稱他們擔心未知安全漏洞被利用,而52%表示擔心客戶數據和智慧財產權遭到盜竊。
在這其中,最讓人振奮的發現是,正如下圖所示,全球各行各業都開始採用賞金計畫:
技術行業是第一個了解賞金計畫需要的行業,因為其業務通常是軟體。但如果軟體覆蓋全世界,那麼,每家公司都是軟體公司,所有公司都需要確保其代碼被白帽駭客怪客攻擊,而不是黑帽駭客怪客。顯然,這方面還有很多工作要做,但趨勢正朝著正確的方向發展。
留言
張貼留言