|
把现金零日不会解决这个问题:研究人员对国防如何平衡被打破了.远程控制软件,灰鸽子下载
政府和企业不能抑制零日漏洞往里砸钱的威胁问题,麻省理工学院和哈佛大学的研究人员以及信息安全公司HackerOne发现。
在博客上发表的题为“狼Vuln街”今天的会谈在RSA会议上,下周HackerOne首席策略官凯蒂Moussouris和麻省理工学院斯隆管理学院的迈克尔·西格尔博士提出了他们的研究他的经济市场零日漏洞的软件。
一个零日漏洞是指一个产品的一个安全漏洞,其供应商不知道,意思没有可用的补丁。
Moussouris和西格尔进行了一项针对零日市场的经济力量和想出了一个模型的市场行为。
他们发现这不是仅仅出于价格,和许多其他因素改变之间的力量平衡“进攻”(黑市)和“国防”(技术供应商)。
“不是所有的黑客主要是出于钱。即使是那些卖给政府,经常这样做有选择性地,故意选择,即使“另一边”可能付给他们更多的钱,”他们写道。
Bug赏金已经成为更受欢迎的和有效的,但正如白帽黑客的股权和现金上涨,也有机会卖给黑市,研究人员发现。
然而,一些漏洞永远不会科技公司可以负担得起的价格出售,他们写道。
“进攻买家(例如政府购买漏洞发起攻击,监视或使用执法)能够使用国防买家,所以后卫希望获得任何优势如何在这个市场?”他们写道。
“后卫,有一个逻辑漏洞的价格上限,上面只有offense-use买家可以走。”
Moussouris和西格尔——一些人从麻省理工学院和哈佛大学——试图揭示科技公司的最有效的方法减少零日漏洞如果价格就不会工作在黑市上获得优势。
这个行业能做些什么呢?
Moussouris之前说让技术供应商的关键不仅是发现和修复尽可能多的缺陷,还专门找到并修复那些攻击者使用,引用谷歌的零日狩猎计划Project Zero作为例子,远程控制软件,灰鸽子远程控制软件,灰鸽子使用教程。
研究者说创造激励自动化工具和技术支持漏洞发现可能被证明是更有效的方式为科技公司“零日漏洞”排水进攻储备。
“后卫可以更快流失漏洞的进攻储备时获得更好的工具和技术漏洞的发现,“他们发现。
“更成熟的供应商应该考虑增加他们的标准错误赏金计划包括特殊的激励工具和技术,帮助他们更有效地找到漏洞。”
个人技术公司应该首先投资于自己的安全开发生命周期,然后看向个人错误赏金抓住他们错过的任何漏洞,研究人员说。
”这也是一种找到伟大的后卫与雇佣黑客的心态,“Moussouris写道。
“更成熟的技术供应商应该创建激励工具和技术除了任何个人错误赏金专门增加的速率能找到相同的错误进攻方面储备。”
对于那些在政府负责防御的棘手的位置零日攻击虽然进攻同样利用漏洞,研究人员表示,重点需要扩大。
“给政策制定者目前争论是否披露特定漏洞的供应商把它固定保护国家安全,或将其添加到自己的进攻储备使用针对国内目标或其他国家,这是一个重要的问题,但不是最紧迫的问题,“Moussouris写道:灰鸽子远程控制。
“谈话应该扩大到包括在这个辩论的想法使得后卫可用的工具和技术。”
许多offense-oriented黑客卖给政府说他们不使用工具对于大多数漏洞的发现,她说。
“这只是因为他们是熟练。对不同技能水平的捍卫者,工具是最有效的方式,试图赶上。政府扮演的角色在防御和进攻也应该尽力帮助防守漏洞发现获得更好的工具。”
“拔河比赛”攻击者和捍卫者之间总是存在,问题是该行业如何激励对结构使国防更有吸引力和进攻更昂贵,Moussouris说。
“有更多的杠杆起决定性作用从一侧到另一侧不仅仅是钱,和后卫需要开始使用它们。”
HackerOne是组织组成的一个财团支持非盈利网络错误赏金,旨在改善至关重要的网络基础设施。
程序现在将扩大到包括工具和技术援助的赏金漏洞发现和确定可利用性,该公司今天宣布。
“我们想鼓励黑客向世界提供这些工具,以便后卫可以扩展他们的努力更有效,”Moussoris在她的文章里写道。
“如果你想推荐一种工具或技术来赏金在这个项目扩张,请包括链接工具普及和帐面价值,最好是指向错误发现使用这个工具或技术来解决。” |
|