大市中国

大市中国 > 要闻 >

信息时代“软件正在吞噬这个世界”

2017-06-16 15:35:00

 

来源:

信息时代的结局是,“软件正在吞噬这个世界”。企业竞相推出数字代码和服务,而不以网络安全为重,即便大家都知道必然会有安全问题和软件缺陷。在理应安全的组织都遭遇数据失窃和安全事故的时候,企业显然需要它们能够获得的一切帮助。

令人意外的是,软件巨头现在鼓励黑客对它们进行攻击。谷歌、微软和Facebook等公司自2010年以来一直在这么做——通过所谓的“漏洞奖励计划”,或者叫“漏洞悬赏计划”。貌似带有美国“狂野西部”时代历史回声的是,公司向独立的安全研究员提供一个机会,让他们通过找到关键的安全问题而赢得奖金和认可。

尽管2016年可能被称作“黑客之年”,包括去年10月份美国发生的拒绝服务攻击造成互联网大面积瘫痪事件,但2017年可能是“友好黑客攻击之年”。硅谷以外的传统行业推出了更多的“漏洞悬赏计划”。

万事达、强生甚至五角大楼都邀请黑客与他们合作,测试系统漏洞。这些组织对发现漏洞的黑客给予奖励,从而能够从他们的发现总结收获,堵住安全漏洞,甚至招聘到一流的网络安全人才。

这解释了领先公司为何愿意支付巨额赏金。为其他公司管理许多悬赏计划的Bugcrowd表示,在过去几年里,谷歌、Facebook、雅虎、微软和Mozilla为友好黑客支付了总计逾1300万美元的赏金。

对报告漏洞给予奖励的想法并非什么新鲜事:1995年,网景曾为发现开拓性的Navigator2.0网页浏览器漏洞的用户提供奖励。现在,数以千计的守法黑客帮助数百家组织找到软件漏洞,用众人的力量让我们大家更安全。奖励从T恤衫和100万航空里程不等,苹果公司曾为某些发现提供20万美元单笔赏金。

为发现漏洞提供奖励日益获得广泛认可,因为他们提供的益处远远超过了风险:黑客们从未这么容易地合法向公司报告漏洞,并且不用违法就能获得回报——不妨称之为黑客版的“零工经济”。正如实证经济研究证明的那样,这也是相关公司发现安全漏洞的经济方式。

一些最优秀的漏洞猎手最终获得了企业全职职位的录用通知。这些黑客来自世界各地,由于所处位置、获取高校教育的条件或者资金问题,本来永远得不到面试机会,使公司错失他们的卓越天赋。

《伯克利技术法律杂志》指出,企业还能获得一个益处,那就是漏洞悬赏计划可以成为一种企业治理的“最佳实践”机制。实行此类计划有助于董事们履行其“控管数字资产的责任”。

最后,你可能会问:犯罪分子会不会利用这些计划呢?真相是,他们很少需要从事黑客活动的动机。他们已经在大搞黑客活动,非法获取巨额收益。这些计划让发现问题的个人做正确的事情,也让公司有机会解决问题,同时让报告问题的人获得合法报酬和认可。该过程代表着驾驭数以千计安全研究员力量的可行方式,他们正在帮助打造我们这个互联互通时代亟需的“免疫系统”。这给了我希望。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。