压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近幾個月來，漏洞賞金計劃已經從降低風險轉向無意中為客戶和供應商帶來新的負擔。

漏洞賞金計劃在過去幾年中加速發展，宣稱可以加快漏洞識別、改善產品安全和削減成本。許多企業被此類外包解決方案所迷惑，興沖沖參與進來，卻發現自己面臨著意想不到的漏洞和未曾預期的威脅。首當其中的就是原以為可靠的漏洞快速修復，到頭來不過是另一種新的負擔。

隨著驗證要求越來越復雜，合規框架審計疲勞累積越來越多，沒有人會不經過審慎的戰略性考慮就匆忙跳入漏洞賞金計劃。但不幸的是，隱藏的風險比比皆是。漏洞賞金計劃：

• 不是官方認可的第三方認證，也滿足不了監管合規要求。
• 可以快速識別漏洞，但不能提供深度測試，也無法覆蓋整個攻擊界面。
• 向道德黑客開放了源代碼訪問權，但為對手自由找尋和惡意利用漏洞敞開了大門。

最被忽視的一個問題是，漏洞賞金計劃的成本很容易超出控制?？赡艿脑虬ǎ鹤R別出的漏洞數量不受限制（支付賞金）、漏洞被惡意利用（受監管數據遭泄露）、修復無害漏洞（浪費開發時間），以及法律判決（疏于補救）。

??避免隱患

漏洞賞金計劃常被管理層視為利用外包即期支付模式高效暴露漏洞的萬靈丹。因此，很多計劃都過分強調了全面安全策略中漏洞賞金的價值。決策者太容易不經過審慎考慮和盡職調查就批準此類項目了。但是，個中假設真的太多。

或許最根本的癥結在于人性，這引發了幾個問題。如果所謂的道德黑客中有人不那么道德會怎樣？如果粗心大意的賞金獵手就是沒能報告漏洞會如何？如果沒報告的漏洞后續暴露出來可能導致公司無法承擔的代價會怎樣？如果公司重度依賴漏洞賞金計劃這種測試形式，但忽視了遵從PCI、FedRAMP或其他監管合規框架，又會如何？

最近的取證審查中就出現過這種情況：賞金獵手未能披露的漏洞在兩個月后被惡意黑客輕易利用了，造成大量高價值客戶數據就在這個本應防止此類事件的漏洞賞金計劃眼皮底下被盜賣。

財富500強企業尤其感受到自己試圖通過漏洞賞金計劃保護的應用正遭受越來越多的攻擊。高產環境中的攻擊途徑隨著賞金支出和機會目標的增多而不斷擴大。數量上升的同時，白帽子黑客舞弊的可能性也會增加，還會觸發埋伏在內部和外部的惡意黑客未授權訪問。

大部分好黑客站在正義的一方。但典型的漏洞賞金計劃為快速變現單個漏洞提供了激勵。這種傭兵操作理論上很高產，但并不能抹殺恰當審查的必要性和保障計劃覆蓋整個攻擊界面的重要性。

數據泄露頻發的今天，法律責任風險巨大。有太多的判例法能讓公司承擔責任。失敗的漏洞賞金計劃越來越多地出現在法律發現過程中，并被用于證明公司的疏漏。

? 奏效關鍵

盡管存在隱患，但日常接觸這些計劃就會知道，漏洞賞金依然有效，可在企業風險管理中發揮重要作用。

首先，建議將漏洞賞金監管委托給外部法律團隊。我們不僅僅要找出漏洞，還要保護公司面對法律和監管責任的風險敞口，畢竟漏洞賞金計劃識別出的漏洞若未及時修復是要擔負法律責任的。法庭希望看到公司及時采取了合理的措施修復已發現漏洞，并讓公司負責。漏洞獵手卻不用為漏掉或未能報告漏洞承擔責任。

最重要的是，漏洞賞金計劃作為一項攻擊性策略，從本質上就限制了所能檢測的范圍，其他網絡問題會被忽略是眾所周知的事實。一直依賴漏洞賞金計劃確保自身安全的公司常會遇到嚴重性為1的漏洞。有時候這些計劃會失去焦點，有時候預期投資回報就此成為雞肋，有時候就是單純停止了計劃?；蛟S預算被太多的賞金支出拖垮，而門戶也為漏洞利用大敞。

??賞金增強安全

管理層應購入漏洞賞金計劃作為全面安全策略的補充和增強。攻擊性漏洞捕捉和可擴展動態安全計劃之間的精細調整，才是一切保持整體平衡的關鍵。

從法律保護層開始讓公司法律顧問參與計劃審查，確定是否最好與外部律師合作，從而用法律權利保護公司。然后，確保漏洞賞金計劃和漏洞修復過程步調一致。有現成的解決方案集成可以幫助達成這一目標。其間共同要素是利益相關者、業務主管和交付資源的協同，以及確立有效的規劃和溝通。

漏洞賞金計劃有其自身的位置眾人的目光都集中在改進持續集成/持續交付（CI/CD）流水線、DevSecOps和多云環境軟件開發生命周期上，我們需要在當今更為復雜的安全計劃中簡化漏洞捕捉工作。

來源：數世咨詢