漏洞獎(jiǎng)勵(lì)項(xiàng)目的益處眾多，但風(fēng)險(xiǎn)亦然。

當(dāng)涉及向當(dāng)事方通報(bào)技術(shù)漏洞時(shí)，多數(shù)安全研究者和黑客們都清楚他們需要謹(jǐn)慎處理。Logan Lamb 從中吸取了慘痛教訓(xùn)，當(dāng)他發(fā)現(xiàn)了家用警報(bào)系統(tǒng)的安全脆弱性時(shí)，然后迫于知名家居安全廠商的壓力，在去年8月的美國黑帽大會(huì)上對(duì)這一發(fā)現(xiàn)未做披露。

但黑帽大會(huì)也是廠商愿意自找麻煩的場所。2014年，移動(dòng)信用卡處理器廠商 Square 推出了它的安全漏洞獎(jiǎng)勵(lì)項(xiàng)目，這個(gè)項(xiàng)目通過 HackerOne 管理。2013 年，微軟在拉斯維加斯會(huì)議推出了它的漏洞獎(jiǎng)勵(lì)項(xiàng)目。盡管黑帽大會(huì)及其他安全集會(huì)促進(jìn)了各行業(yè)安全漏洞獎(jiǎng)勵(lì)項(xiàng)目的可能性，事實(shí)卻是多數(shù)組織仍缺乏機(jī)制去保障“局外者”穩(wěn)妥地通報(bào)安全缺陷。

漏洞獎(jiǎng)勵(lì)項(xiàng)目的益處眾多，但風(fēng)險(xiǎn)亦然。PayPal的漏洞獎(jiǎng)勵(lì)項(xiàng)目前負(fù)責(zé)人Gus Anagnos 是這樣認(rèn)為的，他在本月專題文章《審視漏洞獎(jiǎng)勵(lì)項(xiàng)目》中與技術(shù)類記者 Alan R. Earls 做了經(jīng)驗(yàn)分享。Anagnos在7月加入了安全創(chuàng)業(yè)公司 Synack ，作為該公司戰(zhàn)略與運(yùn)營副總裁。他提及：“你正與誰在打交道，關(guān)于這點(diǎn)并不總是很清晰—你并不知道自己是在與白帽子合作還是黑帽子。”

Anagnos 還說，“這些系統(tǒng)中可能存在大量噪音，提交的內(nèi)容并不總是有質(zhì)量保證，而那些發(fā)現(xiàn)也并不總是那么重要。”

先驅(qū)者谷歌在2010 年推出其獎(jiǎng)勵(lì)計(jì)劃，面向它的研究者提供如 Bughunter 大學(xué)這樣的社區(qū)資源，幫助簡化漏洞提交流程。該公司告誡研究人員說："我們通過漏洞通報(bào)形式接收到的提交材料，大約有 90% 最終被確定為對(duì)產(chǎn)品安全只有很少的實(shí)際意義或完全沒有。"

漏洞獎(jiǎng)勵(lì)計(jì)劃僅是在累積漏洞嗎?最高級(jí)別的金錢獎(jiǎng)勵(lì)通常針對(duì)可能導(dǎo)致敏感數(shù)據(jù)和隱私問題危害的技術(shù)漏洞。

我們可曾想過是誰提出了bug這一用語?是Grace Hopper 。幾年前AT&T 年度網(wǎng)絡(luò)安全會(huì)議期間，他在接受 AT&T 首席安全官 Ed Amoroso “采訪”時(shí)提出的。這次Marcus Ranum趕上了 Ed Amoroso 的時(shí)間，進(jìn)行了一次對(duì)話，獲得他對(duì)發(fā)展中計(jì)算機(jī)安全產(chǎn)業(yè)難得的視角。隨著安全控制技術(shù)的迅速發(fā)展，CISO需要跟上技術(shù)評(píng)估，并面對(duì)復(fù)雜的安全設(shè)計(jì)制定策略和戰(zhàn)略。

由于很多公司希望能更早檢測(cè)到入侵事件并限制其危害，業(yè)界針對(duì) SIEM (安全信息事件管理)系統(tǒng)的興趣日益增加。但是信息過載(誤報(bào))以及不能捕獲高級(jí)攻擊跡象(漏報(bào))仍然是其主要問題，Rob Lemos在《尋求數(shù)據(jù)分析驅(qū)動(dòng)的安全：你的 SIEM 系統(tǒng)在瀕危名單中嗎?》一文中進(jìn)行了報(bào)導(dǎo)。大數(shù)據(jù)和高級(jí)分析技術(shù)有望提供更好、更完整的威脅檢測(cè)。

隨著一些組織會(huì)從行為分析中尋求針對(duì)威脅的早期檢測(cè)，我們?cè)俅斡懻撍髂嵊耙晩蕵吩馐芎诳褪录?、所謂“足夠好”的安全這一概念。有哪些權(quán)衡會(huì)影響業(yè)務(wù)風(fēng)險(xiǎn)決策?且展望未來會(huì)如何改變?技術(shù)類記者 David Strom 采訪了幾位來自不同行業(yè)的安全官和IT安全經(jīng)理，并將其發(fā)現(xiàn)在《索尼事件之后“足夠好”的安全》一文中做了報(bào)導(dǎo)。

企業(yè)如何能基于實(shí)際威脅和漏洞情況實(shí)施防御，而不是投資到較為寬泛的技術(shù)措施上面?這些問題的答案仍然難以獲得，由于CISO 需要操心的長名單中還添加了風(fēng)險(xiǎn)管理和業(yè)務(wù)運(yùn)營知識(shí)—信賴的伙伴關(guān)系、全球威脅意識(shí)、可靠的體系結(jié)構(gòu)和經(jīng)驗(yàn)證過的技術(shù)。什么是足夠好的安全，以及你什么時(shí)候需要更多?