漏洞奖励开始流行 金融机构止步不前?
作者:星期五, 十一月 14, 20140

2

编者按

一些安全专家建议要想打败黑帽子,就要与白帽子合作,把他们招募过来在系统中寻找bug和漏洞,然后给予奖励。这就是所谓的漏洞奖励计划,已经开始在科技行业流行。但对于一些安全威胁最大的重量级领域,金融行业,仍然在犹豫中……

为什么要邀请黑客攻击自己的网络?

这种邀请别人攻击自己的模式的确有些棘手,不仅要公平公正,还要清楚这种信息交换形式的后果。

大多数企业希望这些白帽子在寻找漏洞的过程中,只拿自己的个人账户来做入侵实验,而不要使用真正客户的账户。白帽子则更关注发现漏洞能收到的奖励。小漏洞可以少给,但大漏洞一定要重奖。毕竟这不是慈善工作,而且他们完全可以把漏洞卖给黑产。

如果因奖励缺乏公平,公司有可能因此而惹上麻烦。比如,有的漏洞测试人员觉得付给他的钱少了,一怒之下公开漏洞。

几年前,付钱给攻击你的人还是一种激进的思想。但互联网世界变化的如此之快,现如今激进已经成为实用。网络空间,有着成千上万拥有漏洞发现技术的黑客人才,把这些人召集起来,给予他们一个可以实现自我并可以“站着把钱挣了”的机会,岂非一件利已利人的大好事?

“如果你关心你的产品并在意你的客户,在意你客户的安全问题,你必须这样做。”――贝宝安全情报主管 迪恩•特纳尔

仅在去年的一年中,贝宝就奖励了1000名悄悄给公司提供漏洞信息的白帽子黑客。这些做“好事”的黑客来自全世界66个国家,来自各行各业。有科技公司的技术人员,也有自由职业者,甚至还有未成年的孩子。

有的企业却不这么想。

有些企业,比如传统的金融、保险业,而不是跟形势结合很快的科技公司,甚至都不想公开的谈论安全问题,除非到了发生紧急事件或者被入侵的时候。许多金融机构的IT负责人认为,邀请黑客去入侵自己的系统,而且还要付钱给他们,这简直不可理喻。

也许这是一个错误,也许银行正在失去保护他们客户的机会。

---

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛!

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章