ACM通信
众包网络安全:寻找漏洞
众包网络安全“可以帮助填补?Bugcrowd的首席执行官兼总裁阿希什·古普塔(Ashish Gupta)说:“一个组织的内部安全团队存在漏洞,因为许多公司仍然在努力解决可用的安全人才短缺的问题。”
图片来源:Analytics India杂志
不管一个公司在一个软件或在线服务上花了多长时间,不管它经过了多少轮的内部质量保证(QA)和测试,一些漏洞、故障、缺陷或bug都会存在,并最终影响到最终用户。为了帮助在漏洞发布后追踪它们,公司——尤其是在软件领域——邀请黑客社区发现并报告这些漏洞已经变得越来越普遍,它们承诺,作为他们发现漏洞的交换,这些公司将提供有形的金钱奖励,相当于“漏洞赏金”。
错误的猎人,组装。
这种发现漏洞的方法被称为“众包网络安全”。公司首席执行官兼总裁阿希什·古普塔表示Bugcrowd该公司在其网站上称自己为“第一众包网络安全平台”。众包网络安全“可以帮助填补组织内部安全团队的空白,因为许多公司仍然在努力弥补可用的安全人才的短缺。”
Bugcrowd就是其中之一20家公司他们招募被他们称为“道德黑客”的自由职业者团队,为那些不能或不想自己建立这样一个程序的组织进行搜寻。其他公司,尤其是技术领域的大公司,都有自己的公司。
由评审网站整理的列表VPN的导师包括截至2021年8月活跃的700多个漏洞赏金项目。名单包括荷兰银行荷兰银行(ABN Amro)游戏公司Zygna,可获得的奖励是巨大的。根据在线学习网站的列表Guru99在美国,英特尔将为发现一个关键漏洞支付最高3万美元,而苹果将为影响其固件的安全问题提供20万美元的赏金。星巴克将支付4000美元用于识别其网络和移动应用程序中的恶意活动。
让一群陌生人尝试寻找产品缺陷的想法最初遭到了那些习惯于隐瞒有关安全漏洞信息的公司的抵制。谷歌安全通信经理凯林•特赖雄(Kaylin Trychon)表示:“我认为,在10年前,这肯定会在业内引发明显的紧张局势。”“过去,我认为这对一些组织来说是一件可怕的事情;“他们会发现什么?”’”
马克·库尔,众包安全平台的首席技术官和联合创始人Synack他回忆道:“当我们在2013年创办公司时,让道德黑客进行众包测试还是一个全新的概念,这让许多高管感到震惊。但是,众包测试不仅在今天更加普遍;这是行业最佳实践,也是许多公司安全程序不可或缺的一部分。”
谷歌全心投入到狩猎中。
谷歌相对较早地采纳了众包安全理念,并于2011年建立了第一个漏洞奖励计划(VRP)。自那以后,该公司向84个不同国家的2000多名研究人员发放了总计近3000万美元的奖金,发现了1.1万多个漏洞。
直到今年,谷歌的vrp都由各自的部门(谷歌、Android、Abuse、Chrome和Play)运行。今年7月,在vrp成立10周年之际,该公司将所有项目集中在了一起错误的猎人平台它提供了一个单一的接收表单,用于报告其所有产品的问题,并提供了关于一些最近发现的bug的报告。
该网站还将潜在的求职者引向一些“唾手可得的目标”,该公司鼓励人们去调查这些目标。这些新产品包括谷歌Apps Script编辑器的仪表板,以及谷歌及其母公司Alphabet新收购的产品。Bug猎人大学(Bug Hunter University)的技术作家Dirk Göhmann说:“添加目标是为了让人们知道哪些新服务是合格的,并可以看到比一些长期服务更新鲜的东西。”“一个相对较新加入的东西是周围的东西实在该公司是Alphabet公司的一部分,最近获得了VRP的资格。”
在推出新平台之前,VRP团队向bug搜索社区征求了他们希望在网站上看到什么内容的反馈意见。Trychon说:“排行榜是他们提到的他们想要看到的东西之一。”所以该网站有一个页面突出显示了所谓的“Bug猎人A-listers”,根据获得的总奖励排名。排行榜让猎人们看到自己在游戏化的竞争环境中如何与同伴竞争。
Bug猎人U
Bug猎人平台的另一个新元素是教育组件,Bug亨特大学(BHU)。“这背后的真正动机是,许多bug寻找者报告漏洞并投入大量时间,如果报告被拒绝,他们会非常失望,”Göhmann解释道。“大学的目标之一是让谷歌申请的标准变得透明——什么样的问题是相关的,尤其是哪些问题是不相关的——这样他们就能走上正确的轨道。”
Trychon补充说:“这也适用于经验丰富的bug搜寻者,他们可能想要学习一种不同的策略或方法来做一些他们以前没有尝试过的事情。”“所以它不仅面向新手,也面向中级甚至是专家,他们总是在学习,总是在迭代。”
BHU页面提供了关于如何改进报告以及如何以最佳方式提交报告的建议,并概述了可能被认为无效的报告类型,例如关于已采取缓解措施的常见SSL/TLS漏洞的报告。这些建议通常伴随着视频演示,我们计划推出更多的视频演示。“我们正在与外部安全研究人员、youtube用户合作,他们将最重要的内容变成视频,”Göhmann解释道。“有些人不喜欢看文章,但会看视频。我们希望人们能够公布他们的报告,这样其他人就可以看到其他人报告了什么,以及谷歌是如何奖励或不奖励他们的。”
Trychon和Göhmann表示,成功的bug捕捉者通过公开他们的活动获得的不仅仅是金钱利益。众所周知,猎人们会在简历的排行榜上突出自己的位置。Göhmann表示:“出现在谷歌排行榜上表明他们找到了被认可的东西。”
在与公司合作的黑客中,库尔也看到了同样的自豪感。他说:“在研究界,获得我们的奖金是一种荣誉。”“这对他们的技术实力和职业道德发出了强烈的信号。这是我们的黑客社区为推广而自豪的事情。”
在Kuhr看来,谷歌对众包安全越来越多的关注是有好处的。他说:“越多的人致力于发现和修复漏洞,我们的境况就会越好。”
此外,库尔说:“我们还存在网络安全技能短缺的问题。现在根本没有足够的人来做这项工作。希望谷歌能够帮助更多的人永久地学会如何进行黑客攻击,并开始为人才输送有技能的研究人员和技术人员,以便更好地应对当今的网络安全风险。”
杰克韦德曼是加州旧金山的自由撰稿人,专注于互联设备、智能家居和城市、扩展现实和其他新兴技术。
没有发现记录