80%
然而,尽管项目有所增长,披露标准和具体实施方法却各家公司大有不同。这种标准的缺乏使善意黑客背负了潜在的法律责任,也使公司企业面临了本可避免的巨大风险,就好像Equifax数据泄露事件所揭示的那样。
为确保漏洞披露产业持续发展壮大,公司企业需以通俗易懂的语言标准化报告规程及策略,保护善意黑客。通过昭示道路规范,行业也能趟出一条安全的康庄大道。
防止漏洞外泄
想要确保系统迈向堵上报告漏洞之路,公司企业需要采取一些关键措施,其中就包括建立漏洞披露项目(VDP)。VDP为黑客提供了快速报告漏洞的安全通道,公司内部专家团队也可以更快分类和缓解问题。
作为VDP的延伸,安全港条款为漏洞奖励项目提供了具体的指导和规范。几家大公司,比如Dropbox和通用公司,就设置了此类策略,但大多数公司企业都没有。事实上,HackerOne的调查显示,93%的福布斯全球2000强企业都没有供研究人员上报漏洞的通道。因此,黑客无法确信自己直接与公司合作会不会惹上民事或刑事诉讼,只有完全出于好意不求回报的黑客才敢报告漏洞了。
在缺乏安全港条款的情况下,黑客固然身负风险,但今天如火如荼的漏洞奖励经济依然提供了大把机会。毕竟,时间就是金钱,而且这还是个卖方市场。在有机会为公开提供奖赏和保护的公司干活的时候,自由安全研究人员是没有动力给缺乏恰当保护的公司企业报告漏洞的。面对这种尴尬的情况,有些黑客可能就直接不报告漏洞,甚至可能会选择在暗网这个数据和远程控制热销的市场发布信息,或者公开披露漏洞以羞辱涉事公司企业,让其他黑客纷纷利用该信息了——就好像2017年微软遭遇的那样。
平衡风险和回报
公司企业需通过撰写清晰的条款为黑客提供广泛的保护来正式形成安全港保护。这么做很合算,因为 漏洞奖励的花销远少于缓解数据泄露的开销 。HackerOne报告中陈诉的关键漏洞平均奖金是2,041美元;波耐蒙研究所调查研究的数据则显示数据泄露平均损失为362万美元。经济账一目了然。
通过在现有漏洞奖励项目间创建通用语言,使黑客不用在项目间频繁变动与转换,Disclose.io之类现有项目有助于标准化安全港条款。不过,安全港条款也并非全无风险,公司企业和黑客双方均承担有各自的风险,需采取一些措施让安全港得到更广泛的采纳。
添加易于接受的常用法律用语以管理披露项目是公司企业推动安全港采纳的最佳方式。通过使用简单易懂的措辞进行公示,公司企业可声明不会对指定安全范围内的黑客提起法律诉讼。
具备较高曝光度、成熟漏洞项目和高度响应能力的知名软件公司,比如Dropbox和Mozilla,在安全港项目上走在前列,而整个漏洞披露产业都将受益。
2018 HackerOne 报告:
Disclose.io项目:
相关阅读
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。