本文讲的是 与其雇人杀虫不如购买杀虫剂,安全管理人员应该把钱花在获取和构建漏洞发现工具上,而不是大量扔钱养闲人或购买无穷无尽的零日漏洞。

前微软安全研究员、漏洞报告奖励平台Hacker One首席策略官凯特·穆苏里表示,新的研究表明安全防护者需要在工具上赶超那些领赏金的白帽黑客,因为他们永远不会有足够的预算用于从白帽子灰帽子黑客市场上购买重要的零日漏洞。

即使是政府这个漏洞大买家,也做不到一直买一直买一直买……

“对防御者来说,想要抽干零日漏洞的攻击储备,激励研发支持漏洞发现的工具是一个更有效率的方式。”在RSA的一次演讲预演中穆苏里如此说道。

凯特·穆苏里

“激励更多的眼睛去寻找安全漏洞能帮助抽干攻击储备。尤其是在不怎么成熟的软件上效果更加明显。但是,如果一个组织把这事儿摆在明面上做,并且专注于防御,为漏洞发现提供6位数的奖励,且不区分奖励是针对成熟软件还是非成熟软件,那这事儿……可能就会产生相反的刺激效果了,尤其是对不怎么成熟的软件而言。”

“想要在防御上占据上风的关键,不在于找到并修复尽可能多的漏洞,而是在找出相同漏洞上面与攻击方研究人员一较高下并修复这些漏洞。”

网络漏洞发现关联模型

关于她的方法,一个“极妙”的例子是谷歌的Project Zero计划。这个计划,简而言之,就是个互联网漏洞闪电战计划。

研究发现,购买和资金支持自动漏洞发现和模糊测试工具的研发,是比在懒惰的安全研究员身上投钱,或将大笔金钱花费在坐等零日漏洞出现再购买要好的方式。

有鉴于此,Hacker One 互联网漏洞报告奖励平台将会扩展延伸,研发精妙又有用的自动漏洞发现工具帮助防御者赶超资深漏洞猎手的人也将受到奖励。(https://hackerone.com/internet-bug-bounty)

将太多金钱投入到漏洞奖励上会抽干安全防御人才库,因为黑客们更倾向于一年花上个两周时间在游泳池边悠闲挖漏洞,而不是苦逼地蹲在逼仄的办公室里憋屈40多个星期上班。

在穆苏里及其同事的反乌托邦式预测下,一旦奖励预算入不敷出,犯罪和攻击市场将迅速抢购最贵的漏洞。

她和麻省理工学院和哈福大学的迈克尔·西格尔博士、 詹姆士·霍顿博士及瑞恩·埃利斯博士一起开发了“世界上第一个”系统动态模型。该模型将于下周的RSA大会上展示。

此研发团队主张,防御者需要更好的工具来发现零日漏洞,让他们的漏洞奖励基金能够应付在产品推出后立即开始的“高风险”漏洞竞赛。

一言以蔽之,投资安全研发生命周期比单纯的漏洞奖励来得好。

漏洞报告奖励耗干预算,开发检测工具才是王道!”

原文发布时间为:五月 1, 2015
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/industry/7557.html

与其雇人杀虫不如购买杀虫剂相关推荐

  1. 【原创】植物大战僵尸全解密---存档篇

    2010-04-13 更新了一点,尽量把demo做成program 2010-04-12 原来的程序在删除用户时,没有删除对应用户的游戏进度.现在修正 另外告诉大家一个关于游戏的小密秘.在帖子的最后. ...

  2. 植物大战僵尸全解密---存档篇[转]学习内存读写的方法

    标 题: [原创]植物大战僵尸全解密---存档篇 作 者: cntrump 时 间: 2010-04-11,21:44:09 链 接: http://bbs.pediy.com/showthread. ...

  3. python 直线过滤掉不在边缘上的点_家庭养花,自制4种“杀虫水”,不生虫不生病,长得花繁叶茂!...

    春天来了百花齐放,但伴随着低温的升高,各种害虫们也开始蠢蠢欲动.最近胖胖就受到了很多花友的留言,说家里出现了蚜虫.蚧壳虫等害虫. 家里的花出现虫害以后,我们一定要重视起来,尽快治疗,如果一直拖着,不只 ...

  4. 减脂期这样购买巧克力,保准躺着瘦

    黑巧克力非常健康和营养,然而可选择的品牌实在是五花八门.根据成分和加工方法,有些比其他更好.那么你应该选择哪一个呢? 什么是黑巧克力? 黑巧克力是通过在可可中添加脂肪和糖来生产的.它与牛奶巧克力的不同 ...

  5. 从传统投放走向程序化购买, 浅谈户外广告发展前景

    文/李曙光 提到程序化购买,很多人第一意识就是电商,毫无疑问随着互联网技术的发展,很多行业都改写了商业模式,拿电商这种经济体来说,它很好的解决了消费者在购买时间和获取商品碎片化问题,即是因为这种体系的 ...

  6. 基于单片机的太阳能杀虫系统

    资源下载地址:https://download.csdn.net/download/sheziqiong/85881842 资源下载地址:https://download.csdn.net/downl ...

  7. LeetCode简单题之打折购买糖果的最小开销

    题目 一家商店正在打折销售糖果.每购买 两个 糖果,商店会 免费 送一个糖果. 免费送的糖果唯一的限制是:它的价格需要小于等于购买的两个糖果价格的 较小值 . 比方说,总共有 4 个糖果,价格分别为 ...

  8. BZOJ 1597: [Usaco2008 Mar]土地购买( dp + 斜率优化 )

    既然每块都要买, 那么一块土地被另一块包含就可以不考虑. 先按长排序, 去掉不考虑的土地, 剩下的土地长x递增, 宽y递减 dp(v) = min{ dp(p)+xv*yp+1 } 假设dp(v)由i ...

  9. 华为外包1年_2021年(1月)有哪些高性价比的华为/荣耀手机值得购买?

    本次更新于2020年12月28日,新增华为mate40系列手机推荐 2020年10月华为推出了华为mate40系列手机,个人觉得还是非常值得购买的.这四款手机的配置情况请参考下图. 如果非要进一步了解 ...

最新文章

  1. php 点击按钮更新mysql_PHP与mysql超链接 有更新按钮 跳转更新,删除后数据表中的数据 怎么做来着?...
  2. mybaits五:主键的自增
  3. Spark知识体系完整解读
  4. Spring Bean的生命周期(详细)
  5. HDU2091 空心三角形 水题
  6. OpenCASCADE:IGES 翻译器的介绍
  7. Generator 实现
  8. RGB格式详解(二)--索引格式
  9. vs2019键盘钩子_注册全局鼠标钩子后用鼠标点击窗口上最大化、最小化、关闭窗口界面卡死...
  10. wmic java_Java执行wmic命令获取系统环境变量
  11. iOS:基于Photos框架的图片选择器以及创建自定义相册
  12. 详解程序化交易、量化交易、高频交易、算法交易、各是什么意思?
  13. 周迅 明星烟熏妆更妖艳?
  14. vim三种工作模式 命令模式、编辑模式、末行(底行)模式
  15. 这些API接口,随便拿出来一个就能装逼、赚钱
  16. 道路覆盖 (二分答案+状压DP)
  17. #51CTO学院四周年#而立之年的不二之选
  18. 芭比波朗品牌的男性市场
  19. UOJ Easy Round #8 T1 打雪仗 题解
  20. 金额换算(数字换汉字)

热门文章

  1. leetcode算法题--三角形最小路径和
  2. Go语言封装Http协议GET和POST请求
  3. 软件测试学习:软件测试的背景
  4. C语言编程题目(三)
  5. sql语句:union
  6. LeanCloud学习笔记(1)
  7. 解剖SQLSERVER 第十篇 OrcaMDF Studio 发布+ 特性重温(译)
  8. JDBC常见面试题集锦(二)
  9. greta的问题及解决: LIBCMTD.lib(_wctype.obj) : error LNK2005: _iswspace already defined in xxx.obj...
  10. prometheus下载慢_Prometheus + Grafana 监控 SpringBoot