攻击者发起攻击,但并不意味着我们需要把钥匙交给他们。虽然没有哪个连接互联网的代码或系统敢声称自己不会被攻击,但保护代码的最佳方法之一可能是邀请攻击者过来:正确类型的攻击者。
根据HackerOne的最新报告发现,“黑客赏金计划越来越被多地视为保护公共部门数字资产的关键”,美国国防部等都在通过赏金计划来抵御恶意攻击者。据报道,好消息是,赏金计划正在带来切实的成果。
敌人的敌人最好懂得代码
根据HackerOne表示,“通过黑客驱动的安全测试,企业可在道德黑客社区的帮助下更快识别高价值漏洞。”虽然我们一直在争论专有或开源代码哪个更安全,但现实是所有代码本质上都不安全。
因此,这里的关键不是编写完美的代码,这不可能实现,而是以正确的方式编写和破解代码,即漏洞可快速被清除的方式。这是开源如此受欢迎的原因之一:更安全与否,它提供更快的漏洞发现和修复。
近年来,HackerOne等公司运行的漏洞奖励计划给企业带来更多希望,让企业可通过安全的方式邀请开发人员来检查其代码中是否存在未知风险,而不是等待下一个Wannacry绑架你的系统,这似乎是非常昂贵的代价。
事实上,很多针对企业代码最恶劣的攻击都是利用开源(Shellshock)或专有软软件/协议中的漏洞,这也是Wannacry的方式。在很多情况下,系统因纯粹的懒惰而暴露:IT根本没有部署适当的安全政策,或者没有修复发现的漏洞。Wannacry和Conficker都是纯粹的机会主义威胁,这其实很容易被阻止。换句话说,有时候你的代码有漏洞,而有时候是你的安全做法有问题。
无论哪种情况,让白帽友好的黑客进入你的代码(以及网络)以在黑帽黑客之前发现问题,这是聪明的做法。
白帽vs黑帽黑客
根据对800个黑客安全计划进行调查,以及全球2000家最大企业披露的数据收集,HackerOne发现这些结果:
1. 不只是技术行业:虽然2016年超过半数的漏洞赏金计划是在技术公司,但41%是来自其他行业。政府、媒体和娱乐、金融服务业、银行业、电子商务和零售业均呈同比增长。
2. 变得越来越好:在2017年,对安全问题的第一次响应平均时间是6天,而2016年是7天。电子商务和零售行业在4周内修复安全问题,平均最快。
3. 好计划吸引最好黑客:最快确认、验证和解决提交漏洞的计划是最吸引黑客的计划。
4. 赏金不断增加:在2017年,因关键漏洞支付给黑客的平均奖金是1923美元,在2015年为1624美元,增加16%。顶级漏洞赏金级豪华平均每个月奖励黑客5万美元,有的每年支付90万美元。
5. 顶级公司仍然想要保持机密:尽管漏洞赏金计划越来越广泛,仍然有94%的上市公司没有漏洞披露政策,与2015年一样。
6. 企业最关心安全漏洞:73%受访客户称他们担心未知安全漏洞被利用,而52%表示担心客户数据和知识产权遭到盗窃。
在这其中,最让人振奋的发现是,正如下图所示,全球各行各业都开始采用赏金计划:
技术行业是第一个了解赏金计划需要的行业,因为其业务通常是软件。但如果软件覆盖全世界,那么,每家公司都是软件公司,所有公司都需要确保其代码被白帽黑客攻击,而不是黑帽黑客。显然,这方面还有很多工作要做,但趋势正朝着正确的方向发展。
