漏洞奖励开始流行 金融机构止步不前?
为什么要邀请黑客攻击自己的网络?
这种邀请别人攻击自己的模式的确有些棘手,不仅要公平公正,还要清楚这种信息交换形式的后果。
大多数企业希望这些白帽子在寻找漏洞的过程中,只拿自己的个人账户来做入侵实验,而不要使用真正客户的账户。白帽子则更关注发现漏洞能收到的奖励。小漏洞可以少给,但大漏洞一定要重奖。毕竟这不是慈善工作,而且他们完全可以把漏洞卖给黑产。
如果因奖励缺乏公平,公司有可能因此而惹上麻烦。比如,有的漏洞测试人员觉得付给他的钱少了,一怒之下公开漏洞。
几年前,付钱给攻击你的人还是一种激进的思想。但互联网世界变化的如此之快,现如今激进已经成为实用。网络空间,有着成千上万拥有漏洞发现技术的黑客人才,把这些人召集起来,给予他们一个可以实现自我并可以“站着把钱挣了”的机会,岂非一件利已利人的大好事?
“如果你关心你的产品并在意你的客户,在意你客户的安全问题,你必须这样做。”――贝宝安全情报主管 迪恩•特纳尔
仅在去年的一年中,贝宝就奖励了1000名悄悄给公司提供漏洞信息的白帽子黑客。这些做“好事”的黑客来自全世界66个国家,来自各行各业。有科技公司的技术人员,也有自由职业者,甚至还有未成年的孩子。
有的企业却不这么想。
有些企业,比如传统的金融、保险业,而不是跟形势结合很快的科技公司,甚至都不想公开的谈论安全问题,除非到了发生紧急事件或者被入侵的时候。许多金融机构的IT负责人认为,邀请黑客去入侵自己的系统,而且还要付钱给他们,这简直不可理喻。
也许这是一个错误,也许银行正在失去保护他们客户的机会。
---
要闻、干货、原创、专业
关注“信息安全知识”
我们是安全牛!
关键词: