微軟(MSFT)將為軟件研究人員發(fā)現(xiàn)安全威脅支付巨額獎金。在某些情況下,甚至高達26000美元。微軟在一篇博客文章中表示,這家軟件巨頭將為“對客戶隱私和安全有最大潛在影響”的提交支付獎金。
股票行情|微軟為漏洞懸賞付最高金額
拉斯維加斯網(wǎng)絡(luò)安全服務(wù)公司AlertBoot的首席執(zhí)行官蒂姆·馬利伊爾(Tim Maliyil)在接受《TheStreet》采訪時說,在信息安全行業(yè),發(fā)放獎勵是很常見的,因為軟件制造商的質(zhì)量保證團隊不一定能抓住一切。
“臭蟲賞金計劃激勵組織外的人才發(fā)現(xiàn)問題,”他說。“從長遠來看,結(jié)果是一款更好、更安全的產(chǎn)品。”
為什么需要獎金
在應(yīng)對網(wǎng)絡(luò)釣魚攻擊和實施云安全最佳實踐之間,安全團隊負擔(dān)過重。
加州圣克拉拉云本地網(wǎng)絡(luò)安全服務(wù)提供商Valtix的首席安全研究員戴維斯·麥卡錫(Davis McCarthy)告訴TheStreet,許多黑客都是為了捕捉漏洞。
“網(wǎng)絡(luò)犯罪是有利可圖的,”他說你寧愿獎勵關(guān)上你前門的人,還是事后發(fā)現(xiàn)他們搶劫了你?”
他說,黑客已經(jīng)成為一個全面發(fā)展的行業(yè),數(shù)據(jù)是新的商品,無論是在華爾街還是在地下。
麥卡錫說:“網(wǎng)絡(luò)犯罪分子將密碼、遠程訪問公司網(wǎng)絡(luò)、漏洞利用和僵尸網(wǎng)絡(luò)貨幣化。”。
位于舊金山的數(shù)字風(fēng)險保護解決方案提供商Digital Shadows的首席信息安全官里克·霍蘭德(Rick Holland)告訴TheStreet,漏洞賞金計劃可以成為有效的網(wǎng)絡(luò)安全工具,提供良好的“價廉物美”。
“這些項目通過補充內(nèi)部努力,擴展了防御者的脆弱性管理戰(zhàn)略,”他說。“公司可以將漏洞披露的分類和管理外包給第三方。”
總部位于加利福尼亞州圣何塞的數(shù)字IT和安全運營公司NetRich的首席威脅獵手約翰·班貝內(nèi)克(John Bambenek)告訴TheStreet,漏洞賞金計劃代表了漏洞研究人員和軟件公司之間的緩和。
過去,這些漏洞有時會被公開披露,公司威脅要起訴研究人員。
他說,這些獎金對安全研究人員和公司來說都是一個解決方案。
班貝內(nèi)克說:“這讓研究人員可以做他們喜歡做的事情,并為他們的時間賺錢。”。“這不會像間諜機構(gòu)支付的那么多,但你可以保留你的靈魂。”
雖然漏洞獎勵計劃并不完美,但它們確實給了研究人員一些尋找漏洞的動力,“知道他們的努力可以得到回報,而不僅僅是吹牛的權(quán)利,”位于特拉維夫的企業(yè)網(wǎng)絡(luò)風(fēng)險補救SaaS提供商Vulcan Cyber的高級技術(shù)工程師邁克·帕金(Mike Parkin)告訴TheStreet。
誰在付錢?
馬利伊爾說,一些黑客仍然是白帽黑客,因為他們發(fā)現(xiàn)了問題,但不利用這些問題,也不希望得到賠償。
他說,黑帽黑客將利用安全問題,敲詐和/或竊取帶有該漏洞的產(chǎn)品用戶。
馬利伊爾說,另一類是紅帽黑客,他們更接近于白帽黑客,但有一種私刑傾向。
他說:“他們還將自己動手阻止黑帽黑客,比如著名的黑客組織匿名組織,削弱俄羅斯攻擊他人的能力。”。“他們正在從俄羅斯服務(wù)器上竊取任何可以竊取的情報。想象一下蝙蝠俠是個電腦呆子。”
馬利伊爾說,黑客的行為可能“不穩(wěn)定”。
他說:“是的,我可能是個壞人,但如果我向軟件制造商報告漏洞或漏洞,那我就表現(xiàn)得像個白帽黑客。”。
歸根結(jié)底,軟件制造商只有在發(fā)現(xiàn)提供給他們的東西有價值時,才會向報告缺陷的人付款。“黑客沒有破壞產(chǎn)品,”馬利爾說。“他們只發(fā)現(xiàn)了該產(chǎn)品的一個可利用問題,這是制造商在一天結(jié)束時的過錯。”班貝內(nèi)克說,一些公司可能會自己付錢給黑客,但最終結(jié)果仍然是有益的。更多股票資訊,關(guān)注財經(jīng)365!